Dezvoltator de aplicații dezvăluie cât de simplu pot fura dezvoltatorii parola de la Apple ID

- Adrian Ungureanu
340

Se pare că iOS-ul nu nici pe departe atât de sigur pe cât afirmă Apple, iar un dezvoltator de aplicații pentru iOS a explicat cât de ușor ar putea orice dezvoltator de aplicații să lanseze un atac de phishing folosindu-se de o unealtă din sistemul de operare.

Utilizatorii de iOS se lovesc frecvent de mesajul din imaginea de mai sus sau de cele de mai jos, pentru că sunt solicitați constant să-și introducă parola pentru Apple ID. Felix Krause, dezvoltatorul despre care vă vorbeam povestește că această solicitare poate fi introduse de orice dezvoltator în aplicațiile sale, iar Apple este cea care a oferit codul și fonturile pentru a face această casetă să apară, iar utilizatorii nici nu și-ar da seama că au fost victimele unui atac de tip phishing.

”Să faci această casetă să apară din orice aplicație este extrem de simplu, nu există niciun cod magic sau secret, acesta fiind pur și simplu oferit drept exemplu de Apple în documentația necesară pentru dezvoltatori. Sunt mai puțin de 30 de linii de cod, pe care orice dezvoltator iOS îl poate pune în aplicațiile sale”, a explicat Krause. Care a publicat și imaginea de mai jos în care să ne arate că nu este nicio aproape nicio diferență între caseta originală și cea creată de el.

Acesta spune că a semnalat această problemă către Apple, iar rezolvarea ar fi ca Apple să nu mai permită introducerea parolelor în casete de tip pop-up, iar introducerea parolelor în setări sau în App Store să fie singurele opțiuni.

Acesta a oferit și o soluție pentru utilizatori cum să verifice dacă nu sunt cumva păcăliți. Când apare mesajul, Krause le recomandă utilizatorilor să apese butonul Home și să încerce să închidă aplicația. Dacă mesajul persistă atunci este legitim, pentru că această casetă nu este parte a unei aplicații ci este parte din sistemul de operare și nu poate fi închisă. Dacă după același procedeu caseta dispare acesta afirmă că mai mult ca sigur este un atac de phishing.

De asemenea, acesta le recomandă să nu apese butonul ”Cancel/Anulați”, pentru că sigur vor își vor da acordul pentru aplicație să aibă acces la anumite funcții sau zone din telefon.

Nu știm, ce la determinat pe Krause să scrie despre acest subiect, pentru că până acum nu au fost semnalate atacuri de phishing prin această metodă. Deși nu a fost nicio problemă, vă recomandăm acum încolo să încercați să fiți prudenți, pentru că de obicei nu se întâmplă nimic până când nu deschide cineva gura.