Zavřít reklamu

Vývojář Felix Krause dnes sdílel důkaz o konceptu phishingového útoku. Ten se jeví jako klasický požadavek od Apple k zadání hesla, například při nákupu v App Storu. Hackeři takto můžou jednoduše získat vaše Apple ID a heslo k němu. Krause uvádí, že uživatelé jablečných zařízení jsou zvyklí jejich Apple ID a heslo zadávat úplně všude, kde je to potřeba. Jak například k přístupu k iCloudu, tak v App Store. Proto jim nemusí přijít divné zadat heslo například i při prohlížení Safari či v jiné aplikaci, pokud se to po nich bude požadovat a nebude to podezřelé. V galerii níže posuďte sami, zda-li byste mezi originálním požadavkem a phishingovým útokem našli rozdíl:

Stačí použít element UIAlertController, který napodobuje návrh systémového požadavku pro zadání hesla. Vývojáři můžou takto vytvořit stejné rozhraní a oklamat tak mnoho uživatelů iOS:

„Vytvořit dialog, který vypadá přesně jako ten systémový, je velice snadné. Neexistuje na to žádný tajný nástroj nebo tajný kód. Jedná se o příklady obsažené v dokumentech od Applu. Stačí jen pozměnit text, který se zobrazí. Abyste něco podobného naprogramovali, bude vám na to stačit méně než 30 řádků kódu. Každý vývojář si tedy nyní může vytvořit vlastní phishingový útok a nikdy to nebylo jednodušší.“

Každý vývojář si může vaši e-mailovou adresu od Apple ID jednoduše zobrazit. Jak si ale můžete všimnout, tímto může při lehké nepozornosti uživatele získat i jeho heslo. Tento typ útoku, který Krause popisuje, není nic nového. Pouze usoudil, že by stálo za to uživatele na tuto skutečnost upozornit a předat jim informaci o tom, že phishing je opravdu možný.

Jak se tomu ale bránit? Stačí si jednoduše dávat pozor, kam své heslo zadáváte. Pokud se vám objeví dialog, který se zdá podezřelý nebo se zobrazil v podezřelé aplikaci, stačí stisknout homebutton a aplikaci zavřít. Pokud se po opakovaném otevření aplikace dialog nezobrazí, jednalo se o phishing. Pokud se tento dialog zobrazí znovu, jedná se o výzvu od Apple.

Krause problém už nahlásil společnosti Apple a požaduje opravu. Dále navrhuje, aby své ověření pomocí hesla společnost požadovala přímo v nastavení, nikoliv pomocí dialogových oken, které lze snadno napodobit. Případně doporučuje alespoň přidat ke každému požadavku ikonu aplikace, která toto ověření žádá. Jako dodatečné pojištění by měl každý uživatel Apple zařízení používat dvoufázové ověření, aby se útočníkům zabránilo přihlásit se do účtu Apple ID bez kódu z ověřeného zařízení.

Zdroj: krausefx

Související články

Dnes nejčtenější