Dacă dețineți un iPhone, veți fi obișnuiți cu ceea ce pare o solicitare constantă pentru ID-ul dvs. Apple atunci când faceți achiziții în iTunes, în App Store sau în aplicații. O mică fereastră de tip pop-up apare, îți dai ochii peste cap și îți introduci cu bunăvoință parola.
Dar dacă această fereastră pop-up nu a venit de la Apple și, în schimb, a fost concepută pentru a arăta ca o cerere oficială, în încercarea hackerilor de a vă fura acreditările? Acesta este cazul prezentat de dezvoltatorul de aplicații Felix Krause, care a scris un defalcarea dovezilor de concept de ferestre pop-up asemănătoare
După cum remarcă Krause, mai puțin de 30 de linii de cod pot fi folosite pentru a crea un dialog de convingere de phishing foarte convingător. În imagini alăturate, el compară solicitarea de parolă oficială a Apple cu propriile eforturi. Ideea ar fi că codul este introdus în contrabandă cu o aplicație, astfel încât utilizatorul să vadă notificarea aplicației - nu UI-ul Apple -. Așa cum arată fotografiile sale, acest lucru poate fi proiectat de un dezvoltator pentru a arăta identic cu o fereastră pop-up de conectare la iTunes Store.
Problema principală, din partea Apple, este că iOS face dificilă diferența dintre sursele de notificare. iOS ar trebui să facă o distincție foarte clară între interfața de utilizare a sistemului și elementele de interfață ale aplicației, astfel încât, în mod ideal, este evident [...] pentru utilizatorul mediu de smartphone că ceva pare dezactivat, spune Krause.
Vezi în legătură Afacerea malware-ului Pregătește-te pentru atacuri cibernetice majore, avertizează Centrul Național de Securitate Cibernetică Equifax este obligat să elimine o pagină web care să servească descărcări și programe malware Aceasta este o problemă dificilă de rezolvat, iar browserul web încă o abordează; aveți în continuare site-uri web care fac ca ferestrele pop-up să arate ca ferestre pop-up MacOS / iOS, astfel încât mulți utilizatori să creadă că sunt mesajele de sistem.
Krause adaugă câteva soluții potențiale la problemă, cum ar fi forțarea utilizatorului să introducă parola în aplicația de setări în loc de o fereastră pop-up. Este mai probabil să se întâmple sugestia sa ca Apple să modifice designul sistemului și solicită să includă o pictogramă suplimentară care să indice că este o cerere oficială. El indică semnul exclamării utilizat în unele notificări Push, de mai jos.
poți încărca fotografii live pe instagram
Deocamdată, dezvoltatorul notează câțiva pași pe care utilizatorii îi pot face pentru a preveni phishingul mobil. Cel mai simplu este să apăsați butonul Acasă. Dacă acest lucru închide aplicația și dialogul, atunci a fost un atac de phishing. Dacă dialogul și aplicația sunt încă vizibile, atunci este un dialog de sistem.
De asemenea, merită remarcat faptul că acest tip de atac ar depinde de aplicația rău intenționată care o va faceprocesul de revizuire a App Store și codul fiind apoi activat de dezvoltator. Apple este, în general, în joc cu acest tip de lucruri și ar lua măsuri dacă ar fi detectată o astfel de încălcare a liniilor directoare. Krause observă totuși căorganizațiile cu intenție proastă vor găsi întotdeauna o modalitate de a rezolva cumva limitele unei platforme.