Luka w iOS: wystarczy okno dialogowe, by wykraść hasło do konta Apple

Jak łatwo zdobyć hasło do konta Apple ID użytkownika iPhone’a? Wystarczy o nie ładnie poprosić. Osoby korzystające z iOS-a narażone są na atak phishingowy, którego celem jest wyciągnięcie danych do konta Apple.

Luka w iOS: wystarczy okno dialogowe, by wykraść hasło do konta Apple

11.10.2017 12:39

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Metodę pozwalającą uzyskać hasło użytkownika przedstawił deweloper Felix Krause. Zaznacza, że jego celem nie jest narażenie użytkowników iOS-a, ale załatanie luki, która przez wiele lat była obecna w systemie. Nagłośnienie sprawy powinno zmotywować Apple do wyeliminowania problemu.

Obraz

Felix Krause zauważa, że iOS z wielu powodów pyta użytkowników o hasło do iTunes. Wówczas pojawia się odpowiednie okno logowania, w którym proszeni są o wprowadzenie hasła. Przyzwyczajeni są więc do regularnego wprowadzania hasła, przestając nawet z czasem sprawdzać, dlaczego właśnie proszeni są o ponownie potwierdzenie tożsamości. Okno systemowe wyskakuje nie tylko na ekranie blokady, ale także na ekranie głównym i w aplikacjach, które chcą mieć dostęp do iCloud, GameCenter czy danych użytkownika, które zapewnią możliwość zakupów wewnątrz aplikacji.

Dowolna aplikacja może wykorzystać przyzwyczajenie użytkowników iOS-a do wprowadzenia hasła. Wystarczy z wykorzystaniem klasy UIAlertControlle wygenerować okno, które wygląda dokładnie jak systemowe okno logowania. Patrząc na zrzuty ekranu opublikowane przez Felixa, nie odróżnimy oryginalnego okna od tego stworzonego przez złośliwe oprogramowanie. Najczęściej użytkownik wprowadzi wówczas swoje hasło. Krause zaznacza, że nawet osoby z większą wiedzą na temat technologii, mają trudności z wykryciem tego ataku phishingowego.

Obraz

Przed opisywanym atakiem możemy się ochronić. Jak podaje Felix Krause, wystarczy kliknąć na przycisk home. Jeśli aplikacja i okno dialogowe znikną, to mamy do czynienia z oknem pochodzącym bezpośrednio z aplikacji, a więc prawdopodobnie z atakiem phishingowym. Z kolei jeśli aplikacja i okno są nadal widoczne, to najpewniej mamy do czynienia z prośbą o wprowadzenia hasła pochodzącą z iOS-a. Powodem tego zachowania jest działanie okien systemowych w innym procesie, a nie jako część dowolnej aplikacji.

Według Felixa Krause pytanie użytkownika o hasło bezpośrednio w aplikacji powinno zostać usunięte. Żądanie powinno przenosić do aplikacji Ustawienia, w której odbywałyby się wszystkie logowania do aplikacji.

Programy

Zobacz więcej
Komentarze (16)