Egy fejlesztő, Felix Krause vette észre, hogy egy iOS-es appnak nagyon könnyű jelszavakat lopni a felhasználóktól.
Az iOS rendszeresen szokott popup ablakokban Apple ID-kat kérni, amik akkor is felbukkannak a háttérben zajló folyamatok eredményeképp, ha épp nem az App Store-ban járunk, hanem egy külsős programot futtatunk. Itt adja magát a kérdés, hogy ha ez a bizonyos külsős app dobja fel a popup ablakot, észrevesszük-e a különbséget?
Nem.
Mindössze 30 sor a kódban egy olyan popup ablak előcsalogatása, ami teljesen azonos a “hivatalossal”, ehhez minden szükséges erőforrást megadtak a fejlesztőknek. Kinézetre tehát nincs változás, persze a teljes azonosuláshoz ismerni kell az adott felhasználó email-címét, amivel regisztrált, de ha ezt a részt kihagyják a szövegből, akkor is sokan mehetnek lépre.
Kérdés, hogy az Apple a beküldött appok engedélyezési eljárása során észrevesz-e ilyen adathalászati trükköket, mindenesetre a fejlesztő ajánlást ad arra, hogyan ne akadjunk fenn a horgon.
- Amikor a popup ablak felbukkan, nyomd meg a Home gombot. Ha az app kilép, de az ablak marad, akkor az rendszer-popup, és az Apple küldte. Ha az appal együtt a popup is eltűnik, adathalász próbálkozás volt, lehet jelenteni.
- A másik lehetőség, hogy nem írsz be semmit, kilövöd a popup ablakokat mindig, és magad látogatsz el a Beállítások megfelelő részére, hogy megadd a kódot. Egyébként az Apple-nek is ezt kellene kötelezővé tennie, és popup helyett átirányítani egy megfelelő felületre.
- Jótanács: hiába nyomsz a végén Mégsem gombot, ha beírod a szövegmezőbe a jelszót, azt az app már megszerezte.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.