Kui teil on iPhone, olete iTunes'is, App Store'is või rakendustes ostude sooritamisel harjunud Apple ID-i pideva taotlusega. Ilmub väike hüpikaken, keerate silmi ja sisestate kohusetundlikult oma parooli.
Aga mis siis, kui see hüpikaken pole tulnud Apple'ilt ja on selle asemel välja töötatud nii, et see näeks välja nagu ametlik taotlus häkkerite katse varastada teie volitusi? Nii esitas rakenduse arendaja Felix Krause, kes on kirjutanud a kontseptsiooni tõestamise jaotus pahatahtlikest sarnastest hüpikakendest.
Nagu Krause märgib, saab väga veenva andmepüügi dialoogi loomiseks kasutada vähem kui 30 rida koodi. Kõrvuti piltidel võrdleb ta Apple'i ametliku ID-parooli taotlust omaenda jõupingutustega. Idee oleks see, et kood smugeldatakse rakendusega sisse, nii et see on tegelikult rakenduse teatis - mitte Apple'i kasutajaliides - mida kasutaja näeb. Nagu tema pildid näitavad, saab arendaja selle kujundada nii, et see oleks identne hüpikaknaga Logi sisse iTunes Store.
Põhiküsimus on Apple'i poolelt see, et iOS muudab teatamisallikate vahel vahet tegemise keeruliseks. iOS peaks väga selgelt eristama süsteemi kasutajaliidese ja rakenduse kasutajaliidese elemente, nii et ideaalis oleks keskmise nutitelefoni kasutaja jaoks […] ilmne, et midagi näib olevat välja lülitatud, ütleb Krause.
Vaadake seotud pahavaraäri Valmistuge suuremateks küberrünnakuteks, hoiatab riiklik küberturvalisuskeskus See on keeruline probleem lahendada ja veebibrauser tegeleb sellega endiselt; teil on endiselt veebisaite, mis muudavad hüpikud välja nagu MacOS / iOS hüpikaknad, nii et paljud kasutajad arvavad, et need on süsteemi sõnumid.
Krause lisab probleemile mõned võimalikud lahendused, näiteks sundides kasutajat hüpikakna asemel seadete rakendusse parooli sisestama. Tõenäoliselt juhtub tema ettepanek, et Apple peaks oma süsteemi kujunduse muutma, lisades täiendava ikooni, mis näitab, et see on ametlik taotlus. Ta osutab allpool olevates mõnes tõukemärguandes kasutatud hüüumärgile.
oskab googeldada kodu juhtimistulekahju
Praegu märgib arendaja paari sammu, mida kasutajad saavad mobiilse andmepüügi vältimiseks teha. Lihtsaim on vajutada oma kodu nuppu. Kui see sulgeb rakenduse ja dialoogi, siis oli tegemist andmepüügirünnakuga. Kui dialoog ja rakendus on endiselt nähtavad, siis on see süsteemidialoog.
Samuti väärib märkimist, et seda tüüpi rünnak peaks sõltuma pahatahtlikust rakendusest, mis selle läbi teebApp Store'i ülevaatusprotsess ja seejärel arendaja aktiveerib koodi. Apple on seda tüüpi asjadega tavaliselt pallil ja tegutseks, kui avastataks tema suuniste selline rikkumine. Krause märgib seda siiskihalbade kavatsustega organisatsioonid leiavad alati viisi, kuidas platvormi piirangutest kuidagi mööda minna.