czwartek, 28 marca

Deweloper Felix Krause udostępnił dziś dowód i koncepcję, jak twórcy aplikacji mogą używać wyskakujących okien przypominających do złudzenia te od Apple, w celu uzyskania dostępu do Apple ID i hasła użytkownika iPhone’a.

Jak wyjaśnia Krause, użytkownicy iPhone’a i iPada są przyzwyczajeni do oficjalnych prośb firmy Apple o ich identyfikator Apple i hasło do dokonywania zakupów i uzyskiwania dostępu do programu iCloud, nawet jeśli nie jest to aplikacja App Store lub iTunes.

Używając kontrolera UIAlertController, który emuluje żądanie systemowego hasła, programiści mogą tworzyć identyczny interfejs jako narzędzie do wyłudzania informacji, które może zwieść wielu użytkowników systemu iOS.

Wyświetlanie okna dialogowego wyglądającego tak, jak popup systemu jest bardzo proste, nie ma magicznego lub tajnego kodu, jest to dosłowny przykład dostarczany w dokumentach Apple z niestandardowym tekstem.

Postanowiłem nie otwierać kodu źródłowego rzeczywistego okna proszącego o kod, ale pamiętajmy, że jest to mniej niż 30 wierszy kodu, a każdy deweloper iOS może szybko zbudować własny kod phishingowy.

Chociaż niektóre alerty systemowe wymagałyby od dewelopera posiadania adresu e-mail związanego z Apple ID użytkownika, to istnieją również alerty typu pop-up, które nie wymagają e-maila i mogą uzyskać hasło.

Metoda wyłudzania informacji, którą opisuje Krause, nie jest nowa, a Apple wycofuje aplikacje, które są zaakceptowane do App Store i zawierają taki kod. Nie mniej warto podkreślić, że użytkownicy iOS mogą nie być świadomi, że taka próba wyłudzenia informacji jest możliwa.

Jak mówi Krause, użytkownicy mogą się chronić zachowując ostrożność przed takimi oknami dialogowymi. Jeśli coś takiego wyskoczy, naciśnijcie przycisk Home, aby zamknąć aplikację. Jeśli popup zniknie, jest to znak, że jest on związany z aplikacją i jest atakiem phishingowym. Jeśli pozostanie, to jest to żądanie systemowe od firmy Apple.

Krause zaleca także użytkownikom odrzucanie pop-upów i wpisywanie poświadczeń bezpośrednio w aplikacji Ustawienia.

Krause zgłosił problem do firmy Apple i zaleca jej wprowadzenie poprawki, która prosiłaby użytkowników o wpisywanie ich poświadczeń do aplikacji Ustawienia, a nie bezpośrednio przez popup, który można łatwo skopiować. Ewentualnie sugeruje, żeby żądanie poświadczeń zawierało ikonę aplikacji, która wskazuje, czy pyta o to aplikacja czy system.

Jako dodatkowa ochrona przed atakami w ten sposób klienci firmy Apple powinni włączyć sobie obsługę uwierzytelniania dwupoziomowego, ponieważ uniemożliwia ono osobie atakującej zalogowanie się do konta Apple ID bez kodu ze zweryfikowanego urządzenia.

Udostępnij:
Subscribe
Powiadom o
guest

0 komentarzy
Inline Feedbacks
View all comments
0
Chciałbyś się podzielić swoim przemyśleniem? Zostaw komentarzx