- Сообщения
- 442
- Реакции
- 485
Злоумышленники могут с легкостью подделать диалоговое окно iOS и похитить пароль от Apple ID.
Исследователь безопасности Феликс Краузе (Felix Krause) в рамках экспертимента
Проблема заключается в том, что iOS запрашивает у пользователей данные Apple ID в различных случаях, усыпляя тем самым их бдительность. Чаще всего это происходит во время установки очередного обновления операционной системы или при возникновении ошибки во время установки приложений. Подобные всплывающие окна также появляются внутри некоторых программ, когда они запрашивают доступ к iCloud, GameCenter или к функции покупок внутри приложения.
В результате пользователи привыкают вводить свои данные Apple ID всякий раз при запросе iOS. Данной недоработкой могут воспользоваться злоумышленники, подменив диалоговое окно системы внешне неотличимым
По словам исследователя, подделать окно невероятно просто. Для этого не требуется разрабатывать никакой специальный код, достаточно использовать приведенные в документации Apple примеры с небольшими изменениями. В общей сложности, исходный код состоит из менее чем 30 строк. Практически любой разработчик программ для iOS может быстро создать аналогичное фишинговое ПО, отметил Краузе.
Исследователь не стал публиковать PoC-код из этических соображений, поскольку посчитал, что данный недочет инженеров Apple при всей простоте реализации может причинить слишком серьезный ущерб. По словам Краузе, фишинговую атаку можно выявить, закрыв приложение при появлении всплывающего окна. Легитимное диалоговое окно будет и дальше отображаться на экране.
Исследователь безопасности Феликс Краузе (Felix Krause) в рамках экспертимента
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
уязвимость, позволяющую похитить данные Apple ID с помощью фальшивого диалогового окна iOS. Проблема заключается в том, что iOS запрашивает у пользователей данные Apple ID в различных случаях, усыпляя тем самым их бдительность. Чаще всего это происходит во время установки очередного обновления операционной системы или при возникновении ошибки во время установки приложений. Подобные всплывающие окна также появляются внутри некоторых программ, когда они запрашивают доступ к iCloud, GameCenter или к функции покупок внутри приложения.
В результате пользователи привыкают вводить свои данные Apple ID всякий раз при запросе iOS. Данной недоработкой могут воспользоваться злоумышленники, подменив диалоговое окно системы внешне неотличимым
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
окном. Данные, введенные в подобную форму, попадут в руки злоумышленников.По словам исследователя, подделать окно невероятно просто. Для этого не требуется разрабатывать никакой специальный код, достаточно использовать приведенные в документации Apple примеры с небольшими изменениями. В общей сложности, исходный код состоит из менее чем 30 строк. Практически любой разработчик программ для iOS может быстро создать аналогичное фишинговое ПО, отметил Краузе.
Исследователь не стал публиковать PoC-код из этических соображений, поскольку посчитал, что данный недочет инженеров Apple при всей простоте реализации может причинить слишком серьезный ущерб. По словам Краузе, фишинговую атаку можно выявить, закрыв приложение при появлении всплывающего окна. Легитимное диалоговое окно будет и дальше отображаться на экране.
