Na webe vývojára Felixa Krausa, ktorý stojí za programom rýchly pruh, sa dnes objavila veľmi zaujímavá informácia, týkajúca sa najnovšieho spôsobu vykonania phishing útoku, ktorý je v súčasnej dobe možné vykonať na iOS platforme. Tento útok cieli na heslo používateľa zariadenia a nebezpečný je predovšetkým preto, že vyzerá naozaj reálne. A to až do takej miery, že by napadnutý používateľ mohol o svoje heslo prísť vlastnou iniciatívou.
Felix na svojom webu predstavuje nový koncept phishing útoku, ktorý je možné na iOS zariadení dostať. Zatiaľ sa tak nedeje (hoci je to možné už niekoľko rokov), ide iba o demonštráciu toho, čo je možné. Autor na svojom webe logicky nevystavuje zdrojový kód tohto hacku, nie je ale nepravdepodobné, že sa oň niekto nepokúsi.
V podstate ide o útok, ktorý využíva dialógové okno v iOS na to, aby z užívateľa dostal heslo k jeho Apple ID účtu. Problém je v tom, že toto okno je na nerozoznanie od toho pravého, ktoré sa objavuje v prípade autorizácie úkonov na iCloude či v App Store.
Užívatelia sú na toto vyskakovacie okno zvyknutí a akonáhle sa im objavia, v podstate automaticky ho vyplnia. Problém nastane v prípade, keď nie je pôvodca tohto okna systém ako taký, ale zákerný útok. Na snímkach v galérii sa môžete pozrieť, ako takýto typ útoku vyzerá. Na Felixovom webe je presne popísané, ako k takémuto útoku môže dôjsť a ako sa dá zneužiť. Stačí, aby nainštalovaná aplikácia v iOS zariadení obsahovala špecifický skript, ktorý túto interakciu používateľského rozhrania inicializuje.
Obrana proti tomuto typu útoku je pomerne jednoduchá, málo koho by však napadlo ju použiť. Pokiaľ sa vám podobné okno niekedy objaví, a budete mať podozrenie, že to nie je celkom v poriadku, stačí stlačiť Home Button (alebo jeho softvérový ekvivalent…). Aplikácia sa zhodí na pozadí a pokiaľ bolo dialógové okno so žiadosťou o vloženie hesla legitímne, stále sa vám bude zobrazovať na displeji. Pokiaľ išlo o phishing útok, okno zmizne s uzavretím aplikácie. Ďalšie metódy nájdete na webu autora, ktorý odporúčam prečítať. Je asi len otázka času, kým sa podobné útoky rozšíria do aplikácií v App Store.
Zdroj: krausefx
Tak takýto útok by v legitímnej aplikácii asi neprešiel Apple kontrolou, nie?
Takže opäť ak nemáš jailbreak, tak to nemáš kde chytiť.
PS: Som túto „regulernú“ hlasku ešte nikdy nevidel. Všade pouzivam Touch ID ;-).
No tak ja som ju už dnes videl. A na iPade mini nie je TID. Práve dnes v noci som dostal mail, že sa niekto z prehliadača Chrome pod Windows pokúšal prihlásiť s mojím Apple ID. Ráno som samozrejme hneď urobil zmenu hesla. Dopoludnia, keď sa môj iPad mini bez SIM dostal na wifi a internet, tak sa hlásil ako stratený a zamknutý, pričom mi o tom prišla správa do mailu. Predpokladám, že tou zmenou hesla som všetko vyriešil, ale každý by mal byť naozaj na pozore. Najviac ma zaskočila hláška na displeji toho iPadu, viď obrázok. To mi nepripadá úplne štandardné a tá mailová adresa pri tom o tom vypovedá - je to podvrh a chceli zo mňa dostať prihlasovacie údaje.
… viď obrázok. https://uploads.disquscdn.com/images/81787f49f7358d75acc8a8265cc5014288f07bed46bceeca1254da2086501947.png
A čo to bolo za Appku, ak sa smiem opýtať?
Ďakujem.
O žiadnej aplikácii neviem, nie som si ničoho vedomý. Ten iPad používam málo, prakticky skoro jednoúčelovo a tomu zodpovedá aj jeho výbava aplikácií - pár základných vecí, inak nič, prázdno. Okrem občasných aktualizácií (a je ich málo) tam vlastne ani nič neinštalujem, takže toto je to posledné z mojich zariadení, kde by som niečo také čakal.
A mas Jailbreak?
Jo jasne, ja som tupan. Zobrali Vám heslo a dali „losť device“ a napísali správu. Pardon. Otázkou je, ako sa k Vášmu heslu dostali. Máte rovnaké heslo pre viac služieb? Je uniknuté na internete (dá sa zistiť na stránkach https://haveibeenpwned.com kde zadáte email alebo username)?
Len si teda hovorím, že chlapci to nemali domyslené, keď Vám nechali pôvodné heslo, síce skvelý pre Vás, ale tomu sa hovorí zo zadele kľučka.
Áno, asi tak to mohlo byť. Na tom webe má samozrejme záznam. Ale tam musí byť snáď každá mailová adresa staršia ako 10 rokov. :-)
Jailbreak nemám a nikdy som nemal.
Tam sú aj novšie :-) Stačilo mať v nesprávnom čase LinkedIn, Dropbox a už sa to s Vami vezie :-)
Heh, keby som o tomto napísal niekedy po prechode na 3GS, kedy som o tom uvažoval, mohol som byť „slávny“… Njn, história sa na keby nehrá :-D
Na druhú stranu, pokiaľ na mňa to okno vyskočí a ja si nie som vedomý, že by som inicioval interakciu s AppStore, tak dávam cancel bez vyplnenia hesla…
Práve sa mi to stalo pri aktivácii iPhone. Dúfam, že stačí dať preskočiť. Heslo vyplňujem len pod svojim emailom.