Vývojář Felix Krause dnes sdílel důkaz o konceptu phishingového útoku. Ten se jeví jako klasický požadavek od Apple k zadání hesla, například při nákupu v App Storu. Hackeři takto můžou jednoduše získat vaše Apple ID a heslo k němu. Krause uvádí, že uživatelé jablečných zařízení jsou zvyklí jejich Apple ID a heslo zadávat úplně všude, kde je to potřeba. Jak například k přístupu k iCloudu, tak v App Store. Proto jim nemusí přijít divné zadat heslo například i při prohlížení Safari či v jiné aplikaci, pokud se to po nich bude požadovat a nebude to podezřelé. V galerii níže posuďte sami, zda-li byste mezi originálním požadavkem a phishingovým útokem našli rozdíl:
Fotogalerie
Stačí použít element UIAlertController, který napodobuje návrh systémového požadavku pro zadání hesla. Vývojáři můžou takto vytvořit stejné rozhraní a oklamat tak mnoho uživatelů iOS:
„Vytvořit dialog, který vypadá přesně jako ten systémový, je velice snadné. Neexistuje na to žádný tajný nástroj nebo tajný kód. Jedná se o příklady obsažené v dokumentech od Applu. Stačí jen pozměnit text, který se zobrazí. Abyste něco podobného naprogramovali, bude vám na to stačit méně než 30 řádků kódu. Každý vývojář si tedy nyní může vytvořit vlastní phishingový útok a nikdy to nebylo jednodušší.“
Mohlo by vás zajímat
Každý vývojář si může vaši e-mailovou adresu od Apple ID jednoduše zobrazit. Jak si ale můžete všimnout, tímto může při lehké nepozornosti uživatele získat i jeho heslo. Tento typ útoku, který Krause popisuje, není nic nového. Pouze usoudil, že by stálo za to uživatele na tuto skutečnost upozornit a předat jim informaci o tom, že phishing je opravdu možný.
Jak se tomu ale bránit? Stačí si jednoduše dávat pozor, kam své heslo zadáváte. Pokud se vám objeví dialog, který se zdá podezřelý nebo se zobrazil v podezřelé aplikaci, stačí stisknout homebutton a aplikaci zavřít. Pokud se po opakovaném otevření aplikace dialog nezobrazí, jednalo se o phishing. Pokud se tento dialog zobrazí znovu, jedná se o výzvu od Apple.
Mohlo by vás zajímat
Krause problém už nahlásil společnosti Apple a požaduje opravu. Dále navrhuje, aby své ověření pomocí hesla společnost požadovala přímo v nastavení, nikoliv pomocí dialogových oken, které lze snadno napodobit. Případně doporučuje alespoň přidat ke každému požadavku ikonu aplikace, která toto ověření žádá. Jako dodatečné pojištění by měl každý uživatel Apple zařízení používat dvoufázové ověření, aby se útočníkům zabránilo přihlásit se do účtu Apple ID bez kódu z ověřeného zařízení.
Zdroj: krausefx
Upřímně řečeno bych bez možnosti dvoufázového ověření měl strach telefon používat ;-)
Hezký den.
no tak to je parada a ja z duvodu bezpecnosti pred 5 lety přešel k applu a jak vidim je to ještě horši jak u konkurečnich OS
Horší? Nepleť si bezpečnost s lidskou debilitou. To, že je někdo schopnej přijít a svoje heslo zadat do jakéhokoliv rámečku kam to jde, značí, že problém bude někde jinde.
No a když jsme u toho, tak v porovnání s Androidem, je iOS mnohem bezpečnější, neboť to není openSource do kterého muže zasáhnout kdokoliv si jen vzpomene (:
Asi tak!
Presne tak !
Tak tak!
Ahoj,
opravdu nejde o bezpečnost Apple, ale o to, jak moc dobře uživatel umí používat hlavu.
Správně! V tu chvíli je jedno jaký používá OS, pokud je uživatel hloupý, i sebebezpečnější systém mu proti úniku jeho údajů nepomůže.
na toto naleti jenom male dite ;)
iPad Mini iOS 9.3.5 – objevilo se to na home screenu
Dobre tedy nenasli rozdil ale rozdil asi bude CONTEX kde to okno moze zobrazit, ak je to nad nejakou app z appstore tak len voool zada nieco taketo.
Já používám otisk prstu.
Umožní-li Apple pomocí FaceID, ale i současného TouchID identifikovat všechny přístupy do systému, nákupy a pod., tento problém odečítání hesel v podstatě zcela zanikne.
Hlavně jak se pořád tvrdí jak moc je Apple lepší v ochraně dat a v celkovém bezpečí oproti Androidu…
Jeste ze si ho nepamatuju ???
Vyřešil ????
Jak to mám rozeznat
Autor článku by si měl zjistit fakta. Na iCloud se používá dvoufaktorové ověřování. Po zadání Apple id a hesla do iCloudu mi vyskočí na Apple zařízeních žádost o přístup do iCloudu z určitého místa s možnostmi povolit/zakázat. Pokud člověk dá povolit tak jako další okno vyskočí kód který se musí zadat na počítači. Tohle ověření není potřeba vždy když se přihlašují ze stejné ip (a stejného PC) ale taky neplatí na pořad a zřejmě má časové omezení protože tuhle procedůru to po mě chtělo už mnohokrát pro stejnou ip (a stejné PC).