Ако притежавате iPhone, ще свикнете с това, което изглежда като постоянна заявка за вашия Apple ID, когато правите покупки в iTunes, в App Store или в приложения. Появява се малък изскачащ прозорец, завъртате очи и послушно въвеждате паролата си.
Но какво, ако този изскачащ прозорец не е дошъл от Apple и вместо това е проектиран да изглежда като официална заявка в опит на хакери да откраднат вашите идентификационни данни? Това е случаят, изложен от разработчика на приложения Феликс Краузе, който е написал разбивка на доказателство за концепция на злонамерени изскачащи прозорци.
Както отбелязва Краузе, по-малко от 30 реда код могат да се използват за създаване на много убедителен диалог за фишинг. В снимки рамо до рамо, той сравнява официалната заявка за парола за официална идентификация на Apple със собствените си усилия. Идеята би била кодът да се пренася контрабандно с приложение, така че всъщност да се вижда известието на приложението, а не потребителският интерфейс на Apple, което потребителят вижда. Както показват снимките му, това може да бъде проектирано от разработчик, за да изглежда идентично с изскачащия прозорец за влизане в iTunes Store.
Основният проблем от страна на Apple е, че iOS затруднява разликата между източниците на известия. iOS трябва много ясно да прави разлика между потребителския интерфейс на системата и елементите на потребителския интерфейс на приложението, така че в идеалния случай […] е очевидно за обикновения потребител на смартфон, че нещо изглежда невъзможно, казва Krause.
Вижте свързани Бизнесът на зловреден софтуер Подгответе се за голяма кибератака, предупреждава Националният център за киберсигурност Equifax е принуден да свали уеб страница, обслужваща хитруми и изтегляния Това е труден проблем за решаване и уеб браузърът все още се справя с него; все още имате уебсайтове, които правят изскачащите прозорци да изглеждат като изскачащи прозорци на macOS / iOS, така че много потребители да мислят [те] са системно съобщение [и].
Krause добавя няколко потенциални решения на проблема, като например принуждаване на потребителя да въведе паролата си в приложението за настройки вместо изскачащ прозорец. По-вероятно е да се случи предложението му Apple да промени дизайна на своята система, подканя да включи допълнителна икона, която показва, че е официална заявка. Той посочва удивителен знак, използван в някои push известия, по-долу.
как да отворите docx файл в android
Засега разработчикът отбелязва няколко стъпки, които потребителите могат да предприемат, за да предотвратят мобилен фишинг. Най-лесно е да натиснете бутона си Начало. Ако това затвори приложението и диалоговия прозорец, това е атака с фишинг. Ако диалоговият прозорец и приложението все още се виждат, това е системен диалог.
Също така си струва да се отбележи, че този тип атака ще зависи от злонамереното приложение, което ще го направипроцеса на преглед на App Store и кодът след това се активира от разработчика. Apple обикновено се занимава с този тип неща и ще предприеме действия, ако бъде открито такова нарушение на нейните насоки. Краузе обаче отбелязва товаорганизации с лоши намерения винаги ще намерят начин по някакъв начин да заобиколят ограниченията на платформата.