Jeśli posiadasz iPhone'a, przyzwyczaisz się do ciągłego proszenia o podanie swojego Apple ID podczas robienia zakupów w iTunes, App Store lub w aplikacjach. Pojawia się małe wyskakujące okienko, przewracasz oczami i sumiennie wpisujesz hasło.
Ale co, jeśli to wyskakujące okienko nie pochodzi od Apple, a zamiast tego ma wyglądać jak oficjalna prośba hakerów, aby ukraść Twoje dane uwierzytelniające? Tak jest w przypadku twórca aplikacji Felix Krause, który napisał: podział dowodu koncepcji złośliwych wyskakujących okienek.
Jak zauważa Krause, do stworzenia bardzo przekonującego dialogu phishingowego można użyć mniej niż 30 linii kodu. Na zdjęciach obok siebie porównuje oficjalne żądanie hasła ID Apple z własnymi wysiłkami. Pomysł polegałby na tym, że kod jest przemycany z aplikacją, więc w rzeczywistości jest to powiadomienie aplikacji – a nie interfejs użytkownika Apple – które widzi użytkownik. Jak pokazują jego zdjęcia, programista może go zaprojektować tak, aby wyglądał identycznie jak wyskakujące okienko Zaloguj się do sklepu iTunes Store.
Głównym problemem ze strony Apple jest to, że iOS utrudnia odróżnienie źródeł powiadomień. iOS powinien bardzo wyraźnie rozróżniać elementy interfejsu systemowego i interfejsu aplikacji, tak aby […] było oczywiste dla przeciętnego użytkownika smartfona, że coś wydaje się nie tak, mówi Krause.
Zobacz powiązane Biznes szkodliwego oprogramowania Przygotuj się na poważny atak cybernetyczny, ostrzega Narodowe Centrum Bezpieczeństwa Cybernetycznego Equifax jest zmuszony do usunięcia strony internetowej zawierającej podejrzane pliki do pobrania i złośliwe oprogramowanie Jest to trudny problem do rozwiązania, a przeglądarka internetowa nadal go rozwiązuje; nadal masz witryny, które sprawiają, że wyskakujące okienka wyglądają jak wyskakujące okienka macOS / iOS, więc wielu użytkowników myśli, że [to] komunikaty systemowe.
Krause dodaje kilka potencjalnych rozwiązań tego problemu, takich jak zmuszanie użytkownika do wprowadzenia hasła w aplikacji ustawień zamiast w wyskakującym okienku. Bardziej prawdopodobna jest jego sugestia, aby Apple zmienił projekt swojego systemu monitów o dodatkową ikonę wskazującą, że jest to oficjalna prośba. Wskazuje poniżej na wykrzyknik używany w niektórych powiadomieniach Push.
legion jak dostać się do argusa
Na razie programista zauważa kilka kroków, które użytkownicy mogą podjąć, aby zapobiec phishingowi mobilnemu. Najłatwiej jest nacisnąć przycisk Home. Jeśli spowoduje to zamknięcie aplikacji i okna dialogowego, oznacza to, że był to atak typu phishing. Jeśli okno dialogowe i aplikacja są nadal widoczne, jest to okno dialogowe systemu.
Warto również zauważyć, że ten rodzaj ataku będzie zależeć od tego, czy złośliwa aplikacja przebije się przez niego .proces sprawdzania App Store, a kod jest następnie aktywowany przez programistę. Apple generalnie jest na fali z tego typu sprawami i podjąłby działania, gdyby takie naruszenie jego wytycznych zostało wykryte. Krause jednak to zauważaorganizacje o złych intencjach zawsze znajdą sposób na obejście ograniczeń platformy.