security - 如何防止移动应用程序中的网络钓鱼？

Question

想象一个场景，您的移动设备上安装的游戏 X 想要从社交网络 Y 访问您的帐户信息。假设 Y 公开了一些 API，并且具有“使用 Y 登录”等功能。在台式机 X 上可以弹出新的浏览器窗口，地址栏中清楚地显示 Y 的域名，并有一个挂锁图标清楚地指示 SSL 连接，在此弹出窗口中，社交网络 Y 会要求用户提供登录名、密码和协议(protocol)以传递一些信息(例如姓名) 、头像、电子邮件)到应用程序 X。例如 OAuth 2 使用这种方法。

在我看来，在移动设备上情况则相当不同，因为应用程序 X 可以控制整个屏幕。特别是，它可以在设备屏幕上绘制与真实浏览器无法区分的内容，并劫持用户提供的登录名和密码。

如何对抗覆盖整个屏幕并冒充浏览器甚至操作系统设置窗口等的恶意应用程序？

Answer 1

即使在桌面上也没有针对此问题的技术防御。模仿浏览器的外观并将绿色 SSL 锁绘制到假地址栏中是很简单的。或者，您可以简单地在应用程序中包含一个按键记录器，以获取在同一系统上的任何应用程序中输入的密码。

对于移动应用程序来说，包括键盘记录器更困难。绘制令人信服的假浏览器窗口很容易。另一种防御措施是应用程序商店的审核过程。官方应用商店作为可信应用程序的唯一来源在一定程度上缓解了此类问题。虽然恶意应用程序可能会溜过任何审查流程，但一旦被发现就可以将其删除。