Hvis du eier en iPhone, vil du være vant til det som virker som en konstant forespørsel om Apple-ID-en din når du kjøper i iTunes, i App Store eller i apper. En liten popup vises, du ruller øynene og taster passordet pliktig.
Men hva om popup-vinduet ikke har kommet fra Apple, og i stedet har blitt designet for å ligne en offisiell forespørsel i et forsøk fra hackere om å stjele legitimasjonen din? Det er saken fremmet av apputvikler Felix Krause, som har skrevet en proof-of-concept sammenbrudd av ondsinnede like pop-ups.
Som Krause bemerker, kan færre enn 30 linjer med kode brukes til å lage en veldig overbevisende phishing-dialog. På bilder side om side sammenligner han Apples offisielle ID-passordforespørsel med egen innsats. Tanken ville være at koden smugles inn med en app, slik at det faktisk er appens varsel - ikke Apples brukergrensesnitt - som brukeren ser. Som bildene hans viser, kan dette designes av en utvikler for å se identisk ut med et popup-vindu for Logg på iTunes Store.
Hovedproblemet, fra Apples side, er at iOS gjør det vanskelig å se forskjellen mellom varslingskilder. iOS bør veldig klart skille mellom systemgrensesnitt og appgrensesnittelementer, slik at det ideelt sett [...] er åpenbart for den gjennomsnittlige smarttelefonbrukeren at noe virker av, sier Krause.
Se relaterte Virksomheten med skadelig programvare Forbered deg på større nettangrep, advarer National Cyber Security Center Equifax er tvunget til å ta ned en webside som serverer tøffe nedlastinger og skadelig programvare Dette er et vanskelig problem å løse, og nettleseren takler det fremdeles; du har fremdeles nettsteder som gjør at popup-vinduer ser ut som macOS / iOS-popup-vinduer, slik at mange brukere tror [de er] systemmeldinger [s].
Krause legger til noen få potensielle løsninger på problemet, for eksempel å tvinge brukeren til å legge inn passordet sitt i innstillingsappen i stedet for en popup. Mer sannsynlig vil skje hans forslag om at Apple endrer utformingen av systemanmodningene for å inkludere et ekstra ikon som indikerer at det er en offisiell forespørsel. Han peker på utropstegnet som brukes i noen Push-varsler nedenfor.
hvor lenge blir varene dine når du dør i minecraft
Foreløpig bemerker utvikleren et par trinn brukere kan ta for å forhindre nettfisking. Det enkleste er å trykke på Hjem-knappen. Hvis dette lukker appen og dialogen, var det et phishing-angrep. Hvis dialogboksen og appen fremdeles er synlige, er det en systemdialog.
Det er også verdt å merke seg at denne typen angrep vil henge på den ondsinnede appen som gjør detApp Store-gjennomgangsprosessen, og koden blir deretter aktivert av utvikleren. Apple er generelt på banen med denne typen ting, og vil iverksette tiltak hvis et slikt brudd på retningslinjene ble oppdaget. Krause bemerker imidlertid detorganisasjoner med dårlig hensikt vil alltid finne en måte å på en eller annen måte omgå begrensningene til en plattform.