By Aveliky / BGiPhone / / 0 Comments

Разработчик демонстрира iOS фишинг атака, която използва заявка за парола в стила на Apple

Разработчикът Феликс Краузе сподели доказателство за концепцията за фишинг атака, която ясно показва как може да се получи достъп до Apple ID, чрез диалогови прозорци, създадени в стила на Apple.

Краузе обясни, че потребителите на iOS са свикнали с официалните заявки на компанията за въвеждане на данните при извършване на покупки и достъп до iCloud, дори когато не са в App Store или iTunes. С помощта на UIAlertControler, който емулира дизайна на заявката за парола на системата, разработчиците могат да създадат идентичен интерфейс, като фишинг инструмент, който ще заблуди много потребители. Показването на диалогов прозорец, който изглежда точно като този на системата и супер лесно, няма скрит код и в документите на компанията има примери с персонализиран текст. Всичко това може да се побере в едва 30 реда код и всеки разработчик на iOS може бързо да го изгради, а въпреки че системните сигнали изискват имейл адрес на Apple ID, има такива, които не го правят и могат да възстановят паролата.

Методът за фишинг, демонстриран от Краузе не е нов, а Apple проверява приложенията, които чакат да бъдат публикувани в магазина й, но си заслужава да се подчертае, че потребителите на iOS може и да не са наясно, че такъв опит е възможен. Разработчикът споделя, че те могат да се защитят от подобна атака, като натиснат хоум бутона, за да затворят приложеинето и ако прозорецът остане на екрана, значи действително е системна заявка от Apple.

Краузе препоръчва да се отхвърлят подобни прозорци и данните да се въвеждат единствано в приложението Settings. Той е съобщил на компанията за проблема и е препоръчал корекция, която включва Apple да изисква от потребителиет да въвеждат своите идентификационни данни в Settings, а не директно чрез диалоговите прозорци, които лесно могат да бъдат имитирани. Другата възмжност е тези прозорци да показват иконата на самото приложение, което ги инициира. Като допълнителна защита може да се използва двуфакторната идентификация.
Source: BGiPhone