Hvis du ejer en iPhone, vil du være vant til det, der virker som en konstant anmodning om dit Apple-id, når du foretager køb i iTunes, i App Store eller i apps. En lille pop op vises, du ruller øjnene og pligtopfylder din adgangskode.
Men hvad hvis pop-up'en ikke kommer fra Apple og i stedet er designet til at ligne en officiel anmodning i et forsøg fra hackere om at stjæle dine legitimationsoplysninger? Det er tilfældet fremsat af appudvikler Felix Krause, der har skrevet en proof-of-concept opdeling af ondsindede lignende pop-ups.
Som Krause bemærker, kan færre end 30 linjer kode bruges til at skabe en meget overbevisende phishing-dialog. På billeder side om side sammenligner han Apples officielle anmodning om id-adgangskode med sin egen indsats. Ideen ville være, at koden smugles ind med en app, så det faktisk er appens meddelelse - ikke Apples brugergrænseflade - som brugeren ser. Som hans billeder viser, kan dette designes af en udvikler til at se identisk ud med et Log ind i iTunes Store pop-up.
Fra Apples side er hovedproblemet, at iOS gør det vanskeligt at se forskellen mellem meddelelseskilder. iOS skal meget klart skelne mellem system-UI og app-UI-elementer, så det ideelt set er [...] åbenlyst for den gennemsnitlige smartphone-bruger, at noget virker slukket, siger Krause.
Se beslægtet Virksomheden med malware Forbered dig på større cyberangreb, advarer National Cyber Security Center Equifax er tvunget til at fjerne en webside, der serverer risikable downloads og malware Dette er et vanskeligt problem at løse, og webbrowseren tackler det stadig; du har stadig websteder, der får pop op-vinduer til at ligne macOS / iOS pop op, så mange brugere tror [de er] systemmeddelelser [s].
Krause tilføjer et par mulige løsninger på problemet, såsom at tvinge brugeren til at indtaste deres adgangskode i indstillingsappen i stedet for en pop-up. Mere sandsynligt vil der ske, at hans forslag om, at Apple ændrer designet af dets system, bliver bedt om at inkludere et ekstra ikon, der indikerer, at det er en officiel anmodning. Han peger på udråbstegn brugt i nogle Push-underretninger nedenfor.
hvordan man ændrer navn på twitter
Indtil videre bemærker udvikleren et par trin, som brugerne kan tage for at forhindre mobilfishing. Det nemmeste er at trykke på din Hjem-knap. Hvis dette lukker appen og dialogen, var det et phishing-angreb. Hvis dialogen og appen stadig er synlige, er det en systemdialog.
Det er også værd at bemærke, at denne type angreb vil hænge på den ondsindede app, der gør det igennemApp Store-gennemgangsprocessen, og koden aktiveres derefter af udvikleren. Apple er generelt på bolden med denne type ting og vil tage skridt, hvis en sådan overtrædelse af dets retningslinjer blev opdaget. Krause bemærker dog, atorganisationer med dårlig hensigt vil altid finde en måde at på en eller anden måde omgå begrænsningerne ved en platform.