En utvikler har advart-det er mulig å opprette et phishing-angrep basert på en falsk logge på forespørsel for Apple-ID-legitimasjon
@alexhern
Torsdag 12 oktober 2017 12.17 BST
IPhone er vane gjentatte ganger ber om din Apple-ID og passord med liten forklaring eller en advarsel er ikke bare irriterende – det er også en sikkerhetsfeil som kan gjøre det mulig for angripere å lage svært overbevisende phishing-angrep, en iOS-utvikler har advart.
Vanlige brukere av iphone eller ipad, vil bli brukt til sporadiske henvendelser fra operativsystem til å oppgi Apple-ID og passord som dukker opp i midten av andre aktiviteter og hindrer dem fra å fortsette inntil de slutte seg til forespørselen.
Det kan være frustrerende, spesielt hvis passordet er lang og komplisert, og det kan ofte være vanskelig å finne ut hvorfor, nettopp, må enheten din legitimasjon. Men ifølge utvikleren Felix Krause, den konstante forespørsler er mer enn bare en irritasjon.
“Brukerne er opplært til å bare oppgi Apple-ID-passordet når iOS blir du bedt om å gjøre det. Men de popups er ikke bare vises på den låste skjermen, og skjermbildet hjem, men også inne tilfeldig apps, f.eks når de ønsker å få tilgang til iCloud, GameCenter eller in-app-kjøp,” Krause sa.
“Dette kan lett bli misbrukt av noen app, bare ved å vise [et varsel] som ser nøyaktig ut som systemet dialog. Selv brukere som vet mye om teknologi har en hard tid å oppdage at de varsler er phishing-angrep.”
Apples standard varsler ser identiske til de som normal utviklere kan presentere, Krause bemerket, noe som betyr en godt utformet phishing pop-up kunne presentere absolutt ingen visuelle advarsler om at noe “phishy” var i gjære.
Apple avviste å kommentere.
Felix Krause
(@KrauseFx)Den mest sjokkerende ting om dette, er at det bare tok meg ca 15 minutter å bygge en perfekt kopi av den opprinnelige pic.twitter.com/iiMKLLHvA6
Oktober 10, 2017
Som for tiden utgjorde, det er bare en måte en bruker kan være sikker på at anmodningen om et passord kommer fra Apple, og ikke et falskt app, Krause sa: hit på home-knappen før du skriver inn passordet. Det er fordi det bare er Apple selv som kan svare på hjem-knappen innganger. Andre app vil bli tvunget til å lukke, og med det, den falske pop-up.
Det er ingen bevis for Krause ‘ s forslag har blitt implementert i praksis av noen skruppelløse utvikler, og å bruke den for en effektiv phishing-angrep har fortsatt to ytterligere hindringer å overvinne: programmet må gjøre det forbi Apples anmeldere til å få på App Store, og utbygger må overbevise brukere til å installere den.
Likevel, problemet møtt av Apple er en som mange andre utviklere av programvare har måttet takle gjennom årene. “Sikkerhet overload”, eller risikoen for at brukere blir så overveldet av sikkerhetsfunksjoner som de faktisk skaper usikkerhet, det er en lang kjører problem.
Som kjent, Windows Vista ble lansert med en funksjon som heter User Account Control, som var ment å hindre useriøse programmer fra å ta over en infisert datamaskin. Men i praksis betydde det at operativsystemet avbrutt brukeren å be om tillatelse nesten hver gang et program ønsket å gjøre noe som helst. Det betydde at brukerne raskt lærte å bare klikk på fortsett uten å lese dialogen, angre noen sikkerhet fremgang og til slutt å tvinge Microsoft til å erstatte funksjonen helt i Windows 7.
Selv før da, men Microsoft hadde løst en av de problemer som påvirker tiden iOS. I sine versjoner av Windows for bedriftskunder, det kom opp med en genial måte å sikre at skadelig programvare kan ikke be om en brukers passord: den virkelige login-skjermen, på disse versjonene av Windows, kan bare nås ved hjelp av et tastatur kommando -, kontroll-alt-Delete, som bare Microsoft er i stand til å svare på.
Det er den samme tanken som Felix Krause ‘ s forslag om å treffe på home-knappen før du skriver inn passord, bortsett fra at det ble gjennomført nesten 20 år siden. Jo mer ting endrer seg, jo mer forblir de samme.
- iOS-11: åtte beste nye funksjoner for iPhone og iPad
- Er Apple hensikt å bremse ned din gamle iPhone? Dataene tyder ikke