Новый баг в iOS: если система запрашивает пароль от Apple ID, запрос может быть фальшивым

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.362
37
20
#1
Новый баг в iOS: если система запрашивает пароль от Apple ID, запрос может быть фальшивым



Разработчик и создатель fastlane.tools Феликс Краузе (Felix Krause) рассказал о неприятном баге в iOS. Хотя обнаруженная специалистом особенность не является фактической уязвимостью, он уверен, что данная проблема может причинить пользователям немало вреда.

В своем блоге исследователь объясняет, что UIAlertController API позволяет разработчикам приложений создавать диалоговые окна, которые как две капли воды похожи на настоящие, системные запросы паролей от iCloud, iTunes или GameCenter. Заметить подобную фишинговую атаку будет практически невозможно, доказательство тому – изображения, приведенные ниже. Фишинговые запросы паролей в обоих случаях находятся справа. Нужно признать, что распознать фальшивку едва ли возможно.


«iOS запрашивает у пользователей пароль от iTunes по множеству причин: когда недавно установленная iOS обновляется, или если приложение “застряло” во время установки. В результате пользователей приучили просто вводить пароль от Apple ID, если система его просит. Более того, всплывающие окна появляются не только на экране блокировки или домашнем экране, но и в случайных сторонних приложениях, когда им нужен доступ к iCloud, Game Center или покупкам внутри приложения», — пишет Краузе.​

По словам специалиста, злоумышленникам даже не обязательно знать email-адрес жертвы, ведь запрос, в том числе, может выглядеть, как на иллюстрации ниже.



Исследователь утверждает, что о проблеме пока не знают злоумышленники, так как случаев ее эксплуатации пока замечено не было. Именно по этой причине Краузе решил не публиковать исходный код, который использовал для создания столь правдоподобных фальшивок.

Специалист рассказал и о том, как отличить фальшивое окно запроса пароля от настоящего. Увидев подобный запрос, пользователям стоит нажать на кнопку Home. Если закроется не только приложение, но и окно диалога, значит перед вами фишинговая атака, — настоящий системный запрос должен оставаться на экране даже после нажатия на Home, так как за него отвечает другой процесс. Также Краузе рекомендует использовать двухфакторную аутентификацию и вообще не советует вводить учетные данные в таких всплывающих окнах, для этого лучше переходить в настройки и заполнять необходимые поля там.

Фото: Depositphotos
 

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
325.998
Сообщения
344.462
Пользователи
22.983
Новый пользователь
eaz9

Приложения форума для iOS и Android


У ркн там нет власти ;)
Гостевуха
Помощь Пользователи
    sntk Chat Bot: sntk покинул(а) комнату.