Põhiline Nutitelefonid Hack paljastab, kuidas kurjategijad võisid teie Apple ID-d varastada, kasutades hüppeid

Hack paljastab, kuidas kurjategijad võisid teie Apple ID-d varastada, kasutades hüppeid



Kui teil on iPhone, olete iTunes'is, App Store'is või rakendustes ostude sooritamisel harjunud Apple ID-i pideva taotlusega. Ilmub väike hüpikaken, keerate silmi ja sisestate kohusetundlikult oma parooli.

Hack paljastab, kuidas kurjategijad võisid teie Apple ID-d varastada, kasutades hüppeid

Aga mis siis, kui see hüpikaken pole tulnud Apple'ilt ja on selle asemel välja töötatud nii, et see näeks välja nagu ametlik taotlus häkkerite katse varastada teie volitusi? Nii esitas rakenduse arendaja Felix Krause, kes on kirjutanud a kontseptsiooni tõestamise jaotus pahatahtlikest sarnastest hüpikakendest.

Nagu Krause märgib, saab väga veenva andmepüügi dialoogi loomiseks kasutada vähem kui 30 rida koodi. Kõrvuti piltidel võrdleb ta Apple'i ametliku ID-parooli taotlust omaenda jõupingutustega. Idee oleks see, et kood smugeldatakse rakendusega sisse, nii et see on tegelikult rakenduse teatis - mitte Apple'i kasutajaliides - mida kasutaja näeb. Nagu tema pildid näitavad, saab arendaja selle kujundada nii, et see oleks identne hüpikaknaga Logi sisse iTunes Store.



Põhiküsimus on Apple'i poolelt see, et iOS muudab teatamisallikate vahel vahet tegemise keeruliseks. iOS peaks väga selgelt eristama süsteemi kasutajaliidese ja rakenduse kasutajaliidese elemente, nii et ideaalis oleks keskmise nutitelefoni kasutaja jaoks […] ilmne, et midagi näib olevat välja lülitatud, ütleb Krause.

Vaadake seotud pahavaraäri Valmistuge suuremateks küberrünnakuteks, hoiatab riiklik küberturvalisuskeskus

See on keeruline probleem lahendada ja veebibrauser tegeleb sellega endiselt; teil on endiselt veebisaite, mis muudavad hüpikud välja nagu MacOS / iOS hüpikaknad, nii et paljud kasutajad arvavad, et need on süsteemi sõnumid.

Krause lisab probleemile mõned võimalikud lahendused, näiteks sundides kasutajat hüpikakna asemel seadete rakendusse parooli sisestama. Tõenäoliselt juhtub tema ettepanek, et Apple peaks oma süsteemi kujunduse muutma, lisades täiendava ikooni, mis näitab, et see on ametlik taotlus. Ta osutab allpool olevates mõnes tõukemärguandes kasutatud hüüumärgile.app_store_phishing_2

oskab googeldada kodu juhtimistulekahju

Praegu märgib arendaja paari sammu, mida kasutajad saavad mobiilse andmepüügi vältimiseks teha. Lihtsaim on vajutada oma kodu nuppu. Kui see sulgeb rakenduse ja dialoogi, siis oli tegemist andmepüügirünnakuga. Kui dialoog ja rakendus on endiselt nähtavad, siis on see süsteemidialoog.

Samuti väärib märkimist, et seda tüüpi rünnak peaks sõltuma pahatahtlikust rakendusest, mis selle läbi teebApp Store'i ülevaatusprotsess ja seejärel arendaja aktiveerib koodi. Apple on seda tüüpi asjadega tavaliselt pallil ja tegutseks, kui avastataks tema suuniste selline rikkumine. Krause märgib seda siiskihalbade kavatsustega organisatsioonid leiavad alati viisi, kuidas platvormi piirangutest kuidagi mööda minna.

Huvitavad Artiklid

Toimetaja Valik

Sildiarhiivid: Google Chrome 57 Keela PDF-luger
Sildiarhiivid: Google Chrome 57 Keela PDF-luger
Looge oma VPN-server, et kaitsta oma seadmeid uudishimulike silmade eest
Looge oma VPN-server, et kaitsta oma seadmeid uudishimulike silmade eest
Üha suurem hulk kasutajaid, kes on oma privaatsuse pärast mures või pahandanud Ühendkuningriigis blokeeritud veebisaitide pärast, pöörduvad VPN-ide (virtuaalsete eravõrkude) poole. VPN suunab teie liikluse sisuliselt privaatse kaudu
Microsoft töötab välja uue PowerToysi seadete kasutajaliidese ja ImageResizeri tööriista
Microsoft töötab välja uue PowerToysi seadete kasutajaliidese ja ImageResizeri tööriista
Hiljuti GitHubis avaldas Microsoft idee uuest kasutajaliidesest PowerToysi sätete jaoks. Idee loodi kasutajate panuse ja makettide põhjal. Reklaam Microsoft parandab PowerToysi seadistamise lõpptarbija kogemust. Uus spetsifikatsioon selgitab järgmist: PowerToys on olemas kahel põhjusel. Kasutajad soovivad vähendada tõhusust
Kuidas salvestada töökoda Overwatchis
Kuidas salvestada töökoda Overwatchis
Blizzardi Overwatch ilmus 2015. aastal. Mäng jätkub endiselt tugevalt, kuid pärast seda aega võivad mõned inimesed leida, et mängimine pole enam nii keeruline. Seetõttu tutvustas Blizzard mängu Workshopi funktsiooni
Kuidas vaadata filme DLNA-serverist Androidis
Kuidas vaadata filme DLNA-serverist Androidis
Kuidas DLNA-serverile juurde pääseda mis tahes Android-seadmest.
Keelake Firefoxi vangistatav portaal ja ühendus saidile detectportal.firefox.com
Keelake Firefoxi vangistatav portaal ja ühendus saidile detectportal.firefox.com
Kuidas keelata Firefoxi vangistatav portaal ja ühendus saidile detectportal.firefox.com, kui Firefoxi käivitate, loob brauser kohe uue ühenduse aadressile detectportal.firefox.com. Selle käitumise põhjustab Firefoxi eripära Captive Portal. Siin on, mis on vangistatav portaal ja kuidas see keelata. Vangiportaali keelamine peatab Firefoxi ühenduse loomisega saidile detectportal.firefox.com.
Kas Snapchatis on tugiteenuse telefoninumber, millele saan helistada?
Kas Snapchatis on tugiteenuse telefoninumber, millele saan helistada?