Om du äger en iPhone kommer du att vara van vid det som verkar vara en ständig begäran om ditt Apple-ID när du gör inköp i iTunes, i App Store eller i appar. En liten popup dyker upp, du kastar ögonen och anger pliktigt ditt lösenord.
Men vad händer om popup-fönstret inte kommer från Apple och istället har utformats för att se ut som en officiell begäran i ett försök från hackare att stjäla dina uppgifter? Så är fallet med apputvecklaren Felix Krause, som har skrivit en proof-of-concept uppdelning av skadliga lookalike popup-fönster.
Som Krause konstaterar kan färre än 30 rader kod användas för att skapa en mycket övertygande phishing-dialog. I bilder sida vid sida jämför han Apples officiella ID-lösenordsförfrågan med sina egna ansträngningar. Tanken skulle vara att koden smugglas in med en app, så att det faktiskt är appens meddelande - inte Apples användargränssnitt - som användaren ser. Som hans bilder visar kan detta utformas av en utvecklare så att den ser identisk ut med ett popup-fönster i Logga in i iTunes Store.
Huvudfrågan, från Apples sida, är att iOS gör det svårt att se skillnaden mellan anmälningskällor. iOS bör mycket tydligt skilja mellan systemgränssnittet och appgränssnittselementen, så att det idealiskt [...] är uppenbart för den genomsnittliga smarttelefonanvändaren att något verkar vara av, säger Krause.
Se relaterade Verksamheten med skadlig programvara Förbered dig för större cyberattacker, varnar National Cyber Security Center Equifax tvingas ta bort en webbsida som serverar tvivelaktiga nedladdningar och skadlig programvara Detta är ett knepigt problem att lösa, och webbläsaren hanterar det fortfarande; du har fortfarande webbplatser som gör att popup-fönster ser ut som macOS / iOS-popup-fönster, så att många användare tror att de är systemmeddelanden [s].
Krause lägger till några potentiella lösningar på problemet, som att tvinga användaren att mata in sitt lösenord i inställningsappen istället för en popup. Mer sannolikt att hända är hans förslag att Apple ändrar utformningen av systemets uppmaningar för att inkludera en extra ikon som indikerar att det är en officiell begäran. Han pekar på utropstecknet som används i vissa Push-meddelanden nedan.
hur man ansluter iphone till roku tv
För närvarande noterar utvecklaren ett par steg som användarna kan vidta för att förhindra nätfiske. Det enklaste är att trycka på din hemknapp. Om detta stänger appen och dialogrutan var det en phishing-attack. Om dialogrutan och appen fortfarande syns är det en systemdialog.
Det är också värt att notera att denna typ av attack skulle vara beroende av den skadliga appen som klarar detApp Store-granskningsprocessen och koden aktiveras sedan av utvecklaren. Apple är vanligtvis på spel med den här typen av saker och skulle vidta åtgärder om en sådan överträdelse av dess riktlinjer upptäcktes. Krause noterar dock attorganisationer med dålig avsikt kommer alltid att hitta ett sätt att på något sätt kringgå begränsningarna för en plattform.