facebook
Вы здесь
Главная > Apple

Демонстрация фишинг-атаки на iOS через запрос ввода e-mail и пароля

Поделиться

Каждый пользователь iOS как минимум один раз видел всплывающее окно с запросом ввести свой юзернейм и/или пароль, и обычно они поступают от самой Apple.

Один разработчик подумал о том, что с помощью такого окна можно легко совершить фишинг-атаку. Феликс Краузе создал концепцию, доказывающую, что разработчики могут легко замаскировать атаку под всплывающее окно от Apple.

Как говорит Краузе, пользователи привыкли видеть такие окна даже вне приложений iTunes и App Store. Он использовал UIAlertController и воссоздал дизайн стандартного запроса ввести пароль или юзернейм, который потом можно использовать для фишинга.

«iOS запрашивает у пользователей пароль от iTunes по многим причинам, самыми популярными из которых являются недавно обновлённое ПО и приложения, зависшие во время установки.

В результате пользователи на автомате вводят свой Apple ID и пароль каждый раз. Но такие окна всплывают не только на экране блокировки и главном экране, но и в некоторых приложениях, нуждающихся в доступе к iCloud, GameCenter или покупкам.

Этим легко может воспользоваться любое приложение, поскольку с помощью UIAlertController можно с точностью воссоздать стандартное диалоговое окно».

В большинстве случаев разработчику понадобится почтовый адрес пользователя, чтобы получить его пароль, но иногда не нужен даже он.

Краузе говорит, что к таким вещам нужно относиться внимательнее. Когда не уверены, просто закрывайте окно нажатием кнопки Home. Если оно не исчезнет, это официальное окно Apple, а если исчезнет – это окно приложения, и вводить свои данные не стоит.

Такой тип атак не нов, и Apple тщательно проверяет приложения перед тем, как добавить их в App Store. Но быть внимательным никогда не помешает.

Краузе сообщил Apple о своей концепции.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (Пока оценок нет)
Теги

Комментарии

Top
ПОДПИСКА НА ДАЙДЖЕСТ НОВОСТЕЙ
Еженедельная рассылка самых популярных статей
Мы не рассылаем спам

Спасибо!

Теперь редакторы в курсе.