Представьте сценарий, в котором игра X, установленная на вашем мобильном устройстве, хочет получить доступ к вашей учетной записи из социальной сети Y. Предположим, что Y предоставляет некоторый API и имеет такие функции, как "login with Y" и т.д. На настольном ПК X может всплывающее окно с новым окном браузера, с явным указанием области Y, отображаемой в адресной строке, с значком замка, четко обозначающим соединение SSL, и в этом всплывающем окне социальная сеть Y попросит пользователя предоставить логин, пароль и соглашение для передачи некоторой информации (например, имя, аватар, электронная почта) к приложению X. Например, OAuth 2 использует этот подход.
По моему мнению, на мобильных телефонах ситуация в другом, поскольку приложение X может управлять всем экраном. В частности, он может отображать на экране устройства что-то, что неотличимо от реального браузера и входа в систему и пароля, предоставленного пользователем.
Как можно бороться с вредоносными приложениями, которые охватывают весь экран и притворяются браузерами или даже окнами настройки ОС и т.д.