Als je een iPhone hebt, ben je gewend aan het wat lijkt op een constant verzoek om je Apple ID wanneer je aankopen doet in iTunes, in de App Store of in apps. Er verschijnt een kleine pop-up, u rolt met uw ogen en voert plichtsgetrouw uw wachtwoord in.
Maar wat als die pop-up niet van Apple komt en in plaats daarvan is ontworpen om eruit te zien als een officieel verzoek in een poging van hackers om uw inloggegevens te stelen? Dat is het geval van app-ontwikkelaar Felix Krause, die een proof-of-concept uitsplitsing van kwaadaardige lookalike pop-ups.
Zoals Krause opmerkt, kunnen minder dan 30 regels code worden gebruikt om een zeer overtuigende phishing-dialoog te maken. Op afbeeldingen naast elkaar vergelijkt hij het officiële ID-wachtwoordverzoek van Apple met zijn eigen inspanningen. Het idee zou zijn dat de code met een app wordt binnengesmokkeld, zodat het eigenlijk de melding van de app is - niet de gebruikersinterface van Apple - die de gebruiker ziet. Zoals zijn foto's laten zien, kan dit door een ontwikkelaar worden ontworpen om er identiek uit te zien als een pop-up Aanmelden bij iTunes Store.
Het belangrijkste probleem van Apple's kant is dat iOS het moeilijk maakt om het verschil tussen meldingsbronnen te zien. iOS moet heel duidelijk onderscheid maken tussen systeem-UI- en app-UI-elementen, zodat het idealiter […] voor de gemiddelde smartphonegebruiker duidelijk is dat er iets niet klopt, zegt Krause.
Zie gerelateerd De business van malware Bereid je voor op een grote cyberaanval, waarschuwt het National Cyber Security Center Equifax wordt gedwongen een webpagina te verwijderen met onbetrouwbare downloads en malware Dit is een lastig probleem om op te lossen en de webbrowser pakt het nog steeds aan; je hebt nog steeds websites die pop-ups eruit laten zien als macOS / iOS-pop-ups, zodat veel gebruikers denken dat het [dit zijn] systeemberichten.
Krause voegt een paar mogelijke oplossingen voor het probleem toe, zoals de gebruiker dwingen zijn wachtwoord in te voeren in de instellingen-app in plaats van een pop-up. Waarschijnlijker is zijn suggestie dat Apple het ontwerp van de systeemprompts wijzigt door een extra pictogram op te nemen dat aangeeft dat het een officieel verzoek is. Hij wijst naar het uitroepteken dat in sommige pushmeldingen hieronder wordt gebruikt.
hoe twee laptopschermen aan te sluiten
Voorlopig merkt de ontwikkelaar een aantal stappen op die gebruikers kunnen nemen om mobiele phishing te voorkomen. Het gemakkelijkst is om op uw startknop te drukken. Als hierdoor de app en het dialoogvenster worden gesloten, was het een phishingaanval. Als het dialoogvenster en de app nog steeds zichtbaar zijn, is het een systeemdialoog.
Het is ook vermeldenswaard dat dit type aanval zou afhangen van de kwaadaardige app die erdoorheen komthet App Store-beoordelingsproces en de code wordt vervolgens geactiveerd door de ontwikkelaar. Apple is over het algemeen op de hoogte met dit soort dingen en zou actie ondernemen als een dergelijke schending van de richtlijnen zou worden ontdekt. Krause merkt dat echter oporganisaties met slechte bedoelingen zullen altijd een manier vinden om op de een of andere manier de beperkingen van een platform te omzeilen.