Egy fejlesztő, Felix Krause vette észre, hogy egy iOS-es appnak nagyon könnyű jelszavakat lopni a felhasználóktól. 

Az iOS rendszeresen szokott popup ablakokban Apple ID-kat kérni, amik akkor is felbukkannak a háttérben zajló folyamatok eredményeképp, ha épp nem az App Store-ban járunk, hanem egy külsős programot futtatunk. Itt adja magát a kérdés, hogy ha ez a bizonyos külsős app dobja fel a popup ablakot, észrevesszük-e a különbséget?

Nem.

Mindössze 30 sor a kódban egy olyan popup ablak előcsalogatása, ami teljesen azonos a “hivatalossal”, ehhez minden szükséges erőforrást megadtak a fejlesztőknek. Kinézetre tehát nincs változás, persze a teljes azonosuláshoz ismerni kell az adott felhasználó email-címét, amivel regisztrált, de ha ezt a részt kihagyják a szövegből, akkor is sokan mehetnek lépre.

Kérdés, hogy az Apple a beküldött appok engedélyezési eljárása során észrevesz-e ilyen adathalászati trükköket, mindenesetre a fejlesztő ajánlást ad arra, hogyan ne akadjunk fenn a horgon.

1. Amikor a popup ablak felbukkan, nyomd meg a Home gombot. Ha az app kilép, de az ablak marad, akkor az rendszer-popup, és az Apple küldte. Ha az appal együtt a popup is eltűnik, adathalász próbálkozás volt, lehet jelenteni.
2. A másik lehetőség, hogy nem írsz be semmit, kilövöd a popup ablakokat mindig, és magad látogatsz el a Beállítások megfelelő részére, hogy megadd a kódot. Egyébként az Apple-nek is ezt kellene kötelezővé tennie, és popup helyett átirányítani egy megfelelő felületre.
3. Jótanács: hiába nyomsz a végén Mégsem gombot, ha beírod a szövegmezőbe a jelszót, azt az app már megszerezte.