Przejdź na

Luka w iOS: wystarczy okno dialogowe, by wykraść hasło do konta Apple

Jak łatwo zdobyć hasło do konta Apple ID użytkownika iPhone’a? Wystarczy o nie ładnie poprosić. Osoby korzystające z iOS-a narażone są na atak phishingowy, którego celem jest wyciągnięcie danych do konta Apple.

Obraz
Mateusz Budzeń

Metodę pozwalającą uzyskać hasło użytkownika przedstawił deweloper Felix Krause. Zaznacza, że jego celem nie jest narażenie użytkowników iOS-a, ale załatanie luki, która przez wiele lat była obecna w systemie. Nagłośnienie sprawy powinno zmotywować Apple do wyeliminowania problemu.

Obraz

Felix Krause zauważa, że iOS z wielu powodów pyta użytkowników o hasło do iTunes. Wówczas pojawia się odpowiednie okno logowania, w którym proszeni są o wprowadzenie hasła. Przyzwyczajeni są więc do regularnego wprowadzania hasła, przestając nawet z czasem sprawdzać, dlaczego właśnie proszeni są o ponownie potwierdzenie tożsamości. Okno systemowe wyskakuje nie tylko na ekranie blokady, ale także na ekranie głównym i w aplikacjach, które chcą mieć dostęp do iCloud, GameCenter czy danych użytkownika, które zapewnią możliwość zakupów wewnątrz aplikacji.

Dowolna aplikacja może wykorzystać przyzwyczajenie użytkowników iOS-a do wprowadzenia hasła. Wystarczy z wykorzystaniem klasy UIAlertControlle wygenerować okno, które wygląda dokładnie jak systemowe okno logowania. Patrząc na zrzuty ekranu opublikowane przez Felixa, nie odróżnimy oryginalnego okna od tego stworzonego przez złośliwe oprogramowanie. Najczęściej użytkownik wprowadzi wówczas swoje hasło. Krause zaznacza, że nawet osoby z większą wiedzą na temat technologii, mają trudności z wykryciem tego ataku phishingowego.

Obraz

Przed opisywanym atakiem możemy się ochronić. Jak podaje Felix Krause, wystarczy kliknąć na przycisk home. Jeśli aplikacja i okno dialogowe znikną, to mamy do czynienia z oknem pochodzącym bezpośrednio z aplikacji, a więc prawdopodobnie z atakiem phishingowym. Z kolei jeśli aplikacja i okno są nadal widoczne, to najpewniej mamy do czynienia z prośbą o wprowadzenia hasła pochodzącą z iOS-a. Powodem tego zachowania jest działanie okien systemowych w innym procesie, a nie jako część dowolnej aplikacji.

Według Felixa Krause pytanie użytkownika o hasło bezpośrednio w aplikacji powinno zostać usunięte. Żądanie powinno przenosić do aplikacji Ustawienia, w której odbywałyby się wszystkie logowania do aplikacji.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥