Pokud vlastníte iPhone, budete zvyklí na to, co vypadá jako neustálý požadavek na vaše Apple ID při nakupování v iTunes, v App Store nebo v aplikacích. Objeví se malé vyskakovací okno, vyvalíte oči a poslušně zadáte heslo.
Ale co když tento vyskakovací okno nepochází od společnosti Apple a místo toho byl navržen tak, aby vypadal jako oficiální žádost ve snaze hackerů ukrást vaše pověření? To je případ, který předložil vývojář aplikací Felix Krause, který napsal a rozbor důkazu o konceptu škodlivých vyskakovacích oken podobných vzhledu.
Jak Krause poznamenává, k vytvoření velmi přesvědčivého phishingového dialogu lze použít méně než 30 řádků kódu. Na obrázcích vedle sebe porovnává oficiální požadavek společnosti Apple na zadání hesla s vlastním úsilím. Myšlenka by spočívala v tom, že kód je pašován do aplikace, takže se uživateli skutečně zobrazuje oznámení aplikace - nikoli uživatelské rozhraní společnosti Apple. Jak ukazují jeho obrázky, vývojář jej může navrhnout tak, aby vypadal stejně jako vyskakovací okno Přihlášení do iTunes Store.
Hlavním problémem ze strany Apple je, že iOS ztěžuje rozlišení rozdílu mezi zdroji oznámení. iOS by měl velmi jasně rozlišovat mezi prvky uživatelského rozhraní systému a uživatelského rozhraní aplikace, takže v ideálním případě je pro průměrného uživatele smartphonu […] zřejmé, že něco vypadá, “říká Krause.
Viz související Podnikání s malwarem Připravte se na velký kybernetický útok, varuje Národní centrum pro kybernetickou bezpečnost Equifax je nucen odstranit webovou stránku s pochybným stahováním a malwarem Toto je složitý problém, který je třeba vyřešit, a webový prohlížeč jej stále řeší; stále máte weby, díky nimž vyskakovací okna vypadají jako vyskakovací okna pro MacOS / iOS, takže si mnoho uživatelů myslí, že jsou systémovými zprávami.
Krause k problému přidává několik potenciálních řešení, například vynucení uživatele, aby místo vyskakovacího okna zadal své heslo do aplikace pro nastavení. Pravděpodobnější je, že jeho návrh, aby Apple změnil design svého systému, vyzve k přidání další ikony, která označuje, že se jedná o oficiální požadavek. Ukazuje na vykřičník použitý v některých push oznámeních níže.
co je největší pevný disk
Prozatím vývojář bere na vědomí několik kroků, které mohou uživatelé podniknout, aby zabránili mobilnímu phishingu. Nejjednodušší je stisknout tlačítko Domů. Pokud se tím zavře aplikace a dialogové okno, jedná se o phishingový útok. Pokud jsou dialog a aplikace stále viditelné, jedná se o systémové dialogové okno.
Za zmínku stojí také to, že tento typ útoku by závisel na škodlivé aplikaci, která ji prošlaproces kontroly App Store a kód poté aktivovaný vývojářem. Apple je obecně s tímto typem věcí v pořádku a pokud by bylo zjištěno takové porušení jeho pokynů, přijal by opatření. Krause si to však všímáorganizace se špatným úmyslem vždy najdou způsob, jak nějak obejít omezení platformy.