Ako ste vlasnik iPhonea, naviknut ćete na ono što se čini kao stalni zahtjev za vašim Apple ID-om prilikom kupnji u iTunesu, u App Storeu ili unutar aplikacija. Pojavi se mali skočni prozor, zakolutate očima i uredno unesete lozinku.
Ali što ako taj skočni prozor nije došao od Applea, već je dizajniran da izgleda poput službenog zahtjeva u pokušaju hakera da vam ukrade vjerodajnice? To je slučaj koji je iznio programer aplikacija Felix Krause, koji je napisao dokument raščlamba dokaza o konceptu zlonamjernih skočnih prozora.
Kao što Krause primjećuje, manje od 30 redaka koda može se koristiti za vrlo uvjerljiv phishing dijalog. Na uporednim slikama uspoređuje Appleov službeni zahtjev za lozinkom za osobni ID s vlastitim naporima. Ideja bi bila da se kod prošverca s aplikacijom, tako da je to zapravo obavijest aplikacije, a ne Appleovo korisničko sučelje, koju korisnik vidi. Kao što pokazuju njegove slike, programer ovo može dizajnirati tako da izgleda identično skočnom prozoru Prijava u iTunes Store.
Glavni problem, s Appleove strane, jest taj što iOS otežava razlikovanje izvora između obavijesti. iOS bi trebao vrlo jasno razlikovati korisničko sučelje sustava i elemente korisničkog sučelja aplikacije, tako da je u idealnom slučaju […] očito za prosječnog korisnika pametnog telefona da se nešto čini neskladnim, kaže Krause.
Pogledajte povezano Posao zlonamjernog softvera Pripremite se za veliki cyber-napad, upozorava National Cyber Security Center Equifax prisiljen je ukloniti web stranicu koja služi prevarantskim preuzimanjima i zlonamjernom softveru To je težak problem za riješiti, a web preglednik se još uvijek bavi njime; još uvijek imate web stranice zbog kojih skočni prozori izgledaju poput skočnih prozora macOS / iOS, tako da mnogi korisnici misle da su [poruka] sustava.
Krause dodaje nekoliko potencijalnih rješenja problema, poput prisiljavanja korisnika da unese lozinku u aplikaciju za postavke umjesto skočnog prozora. Vjerojatnije je da će se dogoditi njegov prijedlog da Apple promijeni dizajn svog sustava, a traži i dodatnu ikonu koja označava da je to službeni zahtjev. Pokazuje na uskličnik koji se koristi u nekim dolje navedenim push obavijestima.
zelle limit limit bank of america
Za sada programer bilježi nekoliko koraka koje korisnici mogu poduzeti kako bi spriječili mobilno krađu identiteta. Najjednostavnije je pritisnuti gumb Početna. Ako ovo zatvara aplikaciju i dijaloški okvir, to je bio phishing napad. Ako su dijaloški okvir i aplikacija i dalje vidljivi, to je dijaloški sustav.
Također je vrijedno napomenuti da bi ova vrsta napada ovisila o zlonamjernoj aplikaciji koja se provlačipostupak pregleda trgovine App Store, a kôd zatim aktivira programer. Apple je općenito naklonjen ovoj vrsti stvari i poduzeo bi mjere ako se otkrije takvo kršenje njegovih smjernica. Krause to međutim primjećujeorganizacije s lošom namjerom uvijek će pronaći način da nekako zaobiđu ograničenja platforme.