アカウント名:
パスワード:
WebViewの親アプリはinputのvalueにアクセスできるものと思っていた。passwordでも。
どういう条件下だと被害らしい被害に合うんだろうねアプリ内でアプリ提供元とは別の所のID・Pass入れる機会って…一部のOAuthがそうなのか?
難しく考えなくても、アプリ内で騙すことなく、本来のサイトを表示してログインさせると、アプリ側からもその内容が見えるよって話。別段、パスワードマネージャに限った話じゃなくブラウザで入力したらブラウザにばれるぞってレベルの話だよ。
WebView経由だと、ブラヴザアプリに見えないような作りにとできるってあたりが注意喚起なのかな?
パスワードマネージャがWebViewに入れた認証情報をアプリがぶっこ抜くんじゃなくて、パスワードマネージャを騙してアプリのインプットフィールドに認証情報を入れさせるみたいよ。https://gigazine.net/news/20231208-android-password-managers-leak-autospill/ [gigazine.net]
アプリのインプットフィールドってのが、WebViewの正規サイトの画面のことですよ。元コメントのとおり、WebViewとしてもパスワードマネージャとしても正規サイトに正規のアカウント情報を流しこんでるだけのまっとうな動作。だけど、そのまっとうな動作をさせるアプリを悪意をもって作れば、パスワードも奪えるって話。
記事リンクにあるPDFの40,41ページ見るとWebのインプットフィールドとアプリのインプットフィールドがあってアプリ側にリークする感じぽいですよ
どういう条件下だと被害らしい被害に合うんだろうね
本質的にはWebview関係なくIMEの候補ですらやらかすんじゃないかな入力先に合わせてIsolationなんてしてくれないでしょ
# パスワード入力用オブジェクトならサジェスト躱せるかもだけど日本語入力でShift押して英字とか10キーで入れちゃうと覚えちゃうんよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
そもそもそういうものじゃないのか (スコア:0)
WebViewの親アプリはinputのvalueにアクセスできるものと思っていた。passwordでも。
Re:そもそもそういうものじゃないのか (スコア:0)
どういう条件下だと被害らしい被害に合うんだろうね
アプリ内でアプリ提供元とは別の所のID・Pass入れる機会って…
一部のOAuthがそうなのか?
Re: (スコア:0)
難しく考えなくても、アプリ内で騙すことなく、本来のサイトを表示してログインさせると、アプリ側からもその内容が見えるよって話。
別段、パスワードマネージャに限った話じゃなくブラウザで入力したらブラウザにばれるぞってレベルの話だよ。
WebView経由だと、ブラヴザアプリに見えないような作りにとできるってあたりが注意喚起なのかな?
Re:そもそもそういうものじゃないのか (スコア:1)
パスワードマネージャがWebViewに入れた認証情報をアプリがぶっこ抜くんじゃなくて、パスワードマネージャを騙してアプリのインプットフィールドに認証情報を入れさせるみたいよ。
https://gigazine.net/news/20231208-android-password-managers-leak-autospill/ [gigazine.net]
Re: (スコア:0)
アプリのインプットフィールドってのが、WebViewの正規サイトの画面のことですよ。
元コメントのとおり、WebViewとしてもパスワードマネージャとしても正規サイトに正規のアカウント情報を流しこんでるだけのまっとうな動作。
だけど、そのまっとうな動作をさせるアプリを悪意をもって作れば、パスワードも奪えるって話。
Re: (スコア:0)
記事リンクにあるPDFの40,41ページ見ると
Webのインプットフィールドとアプリのインプットフィールドがあってアプリ側にリークする感じぽいですよ
Re: (スコア:0)
どういう条件下だと被害らしい被害に合うんだろうね
本質的にはWebview関係なくIMEの候補ですらやらかすんじゃないかな
入力先に合わせてIsolationなんてしてくれないでしょ
# パスワード入力用オブジェクトならサジェスト躱せるかもだけど日本語入力でShift押して英字とか10キーで入れちゃうと覚えちゃうんよ