Põhiline Nutitelefonid Hack paljastab, kuidas kurjategijad võisid teie Apple ID-d varastada, kasutades hüppeid

Hack paljastab, kuidas kurjategijad võisid teie Apple ID-d varastada, kasutades hüppeid



Kui teil on iPhone, olete iTunes'is, App Store'is või rakendustes ostude sooritamisel harjunud Apple ID-i pideva taotlusega. Ilmub väike hüpikaken, keerate silmi ja sisestate kohusetundlikult oma parooli.

Hack paljastab, kuidas kurjategijad võisid teie Apple ID-d varastada, kasutades hüppeid

Aga mis siis, kui see hüpikaken pole tulnud Apple'ilt ja on selle asemel välja töötatud nii, et see näeks välja nagu ametlik taotlus häkkerite katse varastada teie volitusi? Nii esitas rakenduse arendaja Felix Krause, kes on kirjutanud a kontseptsiooni tõestamise jaotus pahatahtlikest sarnastest hüpikakendest.

Nagu Krause märgib, saab väga veenva andmepüügi dialoogi loomiseks kasutada vähem kui 30 rida koodi. Kõrvuti piltidel võrdleb ta Apple'i ametliku ID-parooli taotlust omaenda jõupingutustega. Idee oleks see, et kood smugeldatakse rakendusega sisse, nii et see on tegelikult rakenduse teatis - mitte Apple'i kasutajaliides - mida kasutaja näeb. Nagu tema pildid näitavad, saab arendaja selle kujundada nii, et see oleks identne hüpikaknaga Logi sisse iTunes Store.



Põhiküsimus on Apple'i poolelt see, et iOS muudab teatamisallikate vahel vahet tegemise keeruliseks. iOS peaks väga selgelt eristama süsteemi kasutajaliidese ja rakenduse kasutajaliidese elemente, nii et ideaalis oleks keskmise nutitelefoni kasutaja jaoks […] ilmne, et midagi näib olevat välja lülitatud, ütleb Krause.

Vaadake seotud pahavaraäri Valmistuge suuremateks küberrünnakuteks, hoiatab riiklik küberturvalisuskeskus

See on keeruline probleem lahendada ja veebibrauser tegeleb sellega endiselt; teil on endiselt veebisaite, mis muudavad hüpikud välja nagu MacOS / iOS hüpikaknad, nii et paljud kasutajad arvavad, et need on süsteemi sõnumid.

Krause lisab probleemile mõned võimalikud lahendused, näiteks sundides kasutajat hüpikakna asemel seadete rakendusse parooli sisestama. Tõenäoliselt juhtub tema ettepanek, et Apple peaks oma süsteemi kujunduse muutma, lisades täiendava ikooni, mis näitab, et see on ametlik taotlus. Ta osutab allpool olevates mõnes tõukemärguandes kasutatud hüüumärgile.app_store_phishing_2

oskab googeldada kodu juhtimistulekahju

Praegu märgib arendaja paari sammu, mida kasutajad saavad mobiilse andmepüügi vältimiseks teha. Lihtsaim on vajutada oma kodu nuppu. Kui see sulgeb rakenduse ja dialoogi, siis oli tegemist andmepüügirünnakuga. Kui dialoog ja rakendus on endiselt nähtavad, siis on see süsteemidialoog.

Samuti väärib märkimist, et seda tüüpi rünnak peaks sõltuma pahatahtlikust rakendusest, mis selle läbi teebApp Store'i ülevaatusprotsess ja seejärel arendaja aktiveerib koodi. Apple on seda tüüpi asjadega tavaliselt pallil ja tegutseks, kui avastataks tema suuniste selline rikkumine. Krause märgib seda siiskihalbade kavatsustega organisatsioonid leiavad alati viisi, kuidas platvormi piirangutest kuidagi mööda minna.

Huvitavad Artiklid

Toimetaja Valik

Kuidas lisada asukohateavet oma Google'i fotodele
Kuidas lisada asukohateavet oma Google'i fotodele
Kui soovite kasutada kõiki rakenduse Google Photos pakutavaid kasulikke funktsioone, peate teadma, kuidas fotodele asukohateavet lisada. Õnneks on see otsene protsess. Selles artiklis me
Kuidas kontrollida oma netoväärtust mängus Dota 2-s
Kuidas kontrollida oma netoväärtust mängus Dota 2-s
Dota 2 on väga keeruline ja põnev mäng. Kogenud mängijad naudivad enamasti Dota keerulist mehaanikat, kuid uuemate mängijate jaoks võib see olla pettumust valmistav. Netoväärtus on üks neist keerukatest asjadest. See on kulla koguväärtus
Ajutiselt kättesaamatu Facebooki konto tõrke parandamine
Ajutiselt kättesaamatu Facebooki konto tõrke parandamine
Facebook on maailma suurim sotsiaalmeedia platvorm. Isegi mõne halva ajakirjanduse ja aeg-ajalt tehniliste tõrgete korral püsivad nad tipus. Aastate jooksul on Facebook oma kasutajate kaitsmiseks oma lähenemist turvaprobleemidele täiustanud. see on
Spigot: kuidas lisada Minecrafti serverisse pistikprogramme
Spigot: kuidas lisada Minecrafti serverisse pistikprogramme
Spigot on üks populaarsemaid Minecrafti servereid, mis on tuntud oma stabiilsuse ja paindlikkuse poolest. See on ka Bukkiti kahvel, mis sisaldab algset Bukkiti koodi ja mõningaid uusi täiendusi. Üks selle omadusi on kasutamine
Laadige Microsoft Store'ist alla Windows 10 jaoks mõeldud Fire Theme
Laadige Microsoft Store'ist alla Windows 10 jaoks mõeldud Fire Theme
Fire Theme on kena teemapakett, mis on Windowsi kasutajatele saadaval. See sisaldab töölaua kaunistamiseks 8 muljetavaldavat leegi püüdmist. Reklaam Microsoft saadab teema vormingus * .deskthemepack (vt allpool) ja seda saab installida ühe klõpsuga. Fotograaf Marc Schroeder jäädvustab tule hiilguse selle tasuta 8-komplektise erksas punases, oranžis ja kuldses motiivis
Kuidas DVR-i ilma kaablita
Kuidas DVR-i ilma kaablita
Inimesed tunnevad endiselt kohustust maksta kaabellevitellimuse eest, et pääseda juurde sellistele hüvedele nagu DVR. Need kaabellevifirmad võtavad kopsaka summa asja eest, mida te tingimata ei vaja. Nii kaabeltelevisiooni kui ka muude voogesitusteenuste eest tasumine
Kuidas muuta Google'i arvutustabeleid ainult vaatest muutmisele
Kuidas muuta Google'i arvutustabeleid ainult vaatest muutmisele
Kui olete konkreetse Google'i arvutustabelite faili omanik, on teil õigus öelda, kes saab seda muuta ja kes mitte. See on tähtis. Sest juhuslikud muutused võivad sageli olla katastroofilised