Luka w iOS: wystarczy okno dialogowe, by wykraść hasło do konta Apple
Jak łatwo zdobyć hasło do konta Apple ID użytkownika iPhone’a? Wystarczy o nie ładnie poprosić. Osoby korzystające z iOS-a narażone są na atak phishingowy, którego celem jest wyciągnięcie danych do konta Apple.
Metodę pozwalającą uzyskać hasło użytkownika przedstawił deweloper Felix Krause. Zaznacza, że jego celem nie jest narażenie użytkowników iOS-a, ale załatanie luki, która przez wiele lat była obecna w systemie. Nagłośnienie sprawy powinno zmotywować Apple do wyeliminowania problemu.
Felix Krause zauważa, że iOS z wielu powodów pyta użytkowników o hasło do iTunes. Wówczas pojawia się odpowiednie okno logowania, w którym proszeni są o wprowadzenie hasła. Przyzwyczajeni są więc do regularnego wprowadzania hasła, przestając nawet z czasem sprawdzać, dlaczego właśnie proszeni są o ponownie potwierdzenie tożsamości. Okno systemowe wyskakuje nie tylko na ekranie blokady, ale także na ekranie głównym i w aplikacjach, które chcą mieć dostęp do iCloud, GameCenter czy danych użytkownika, które zapewnią możliwość zakupów wewnątrz aplikacji.
Dowolna aplikacja może wykorzystać przyzwyczajenie użytkowników iOS-a do wprowadzenia hasła. Wystarczy z wykorzystaniem klasy UIAlertControlle wygenerować okno, które wygląda dokładnie jak systemowe okno logowania. Patrząc na zrzuty ekranu opublikowane przez Felixa, nie odróżnimy oryginalnego okna od tego stworzonego przez złośliwe oprogramowanie. Najczęściej użytkownik wprowadzi wówczas swoje hasło. Krause zaznacza, że nawet osoby z większą wiedzą na temat technologii, mają trudności z wykryciem tego ataku phishingowego.
Przed opisywanym atakiem możemy się ochronić. Jak podaje Felix Krause, wystarczy kliknąć na przycisk home. Jeśli aplikacja i okno dialogowe znikną, to mamy do czynienia z oknem pochodzącym bezpośrednio z aplikacji, a więc prawdopodobnie z atakiem phishingowym. Z kolei jeśli aplikacja i okno są nadal widoczne, to najpewniej mamy do czynienia z prośbą o wprowadzenia hasła pochodzącą z iOS-a. Powodem tego zachowania jest działanie okien systemowych w innym procesie, a nie jako część dowolnej aplikacji.
Według Felixa Krause pytanie użytkownika o hasło bezpośrednio w aplikacji powinno zostać usunięte. Żądanie powinno przenosić do aplikacji Ustawienia, w której odbywałyby się wszystkie logowania do aplikacji.
