iOS – phishing prawie idealny

Choć skuteczna instalacja malware'u na iOSa jest trudniejsza, niż w przypadku choćby Androida, w znakomitej większości przypadków wektorem ataku na nas i nasze urządzenia jest phishing, a kluczem do sukcesu są umiejętności socjotechniczne i wyciągnięcie od nas naszych loginów i haseł tak, byśmy się nawet nie zorientowali, że dzieje się coś złego. Niemiecki bloger i badacz bezpieczeństwa Felix Krause wykrył lukę w systemie iOS, umożliwiającą wykreowanie phishingu (prawie) idealnego.

Użytkownicy iPhone'a znają wyskakujące okienko, proszące o potwierdzenie hasła do naszego konta iTunes. Pytanie o hasło może paść po instalacji nowej wersji systemu. Albo, gdy aplikacja ma problem z instalacją. Gdy pojawiają się zakupy w aplikacji. Kiedy potrzebuje dostać się do chmury. Problem w tym, że – co udowadnia proof-of-concept Krausego – o hasło może spytać każda aplikacja, a nie tylko systemowa! Deweloperzy mogą wrzucić pop-up gdziekolwiek, a jego treść – jak widać na obrazku – nie podlega kontroli! Jak sprawdzić, które jest prawdziwe?

Na szczęście sposób jest trywialnie prosty – wcisnąć przycisk "Home". Aplikacja zniknie, wyjdziemy na główny ekran. Jeśli wraz z nią zniknie okno – brawo, ubity phishing na Twoim koncie. Jeśli okno zostanie – jest systemowe, możesz wpisać hasło. Jak zawsze – ostrzeżcie bliskich i znajomych. Po więcej bardziej technicznych informacji zajrzyjcie na bloga Felixa.