Apple bør snarest rette en utviklermulighet som gjør det mulig å utvikle apper med en dialogboks det er lett å la seg lure av.
Kan misbrukes
Du har fått beskjeden mange ganger om du er iOS-bruker: Dialog-boksen som spretter opp er umulig å fjerne, og krever passord for App Store-nedlastinger og apper som krever tilgang til iCloud, GameCenter eller i-app-kjøp.
Det store problemet er at dialog-boksen som minner om den Apple bruker i iOS, kan manes frem av hvilken som helst utvikler om personen bruker, i dette tilfellet misbruker, “UIAlertController“.
Det er utvikler Felix Krause som setter søkelyset på dette, og forklarer at det er svært enkelt for en utvikler å gjenskape boksen med mindre enn 30 linjer med kode. Av sikkerhetsårsaker har han ikke åpen kildekodet-prosjektet.
Annonse
Slik kan du beskytte deg
Krause har flere metoder som enkelt avslører en slik phising-app:
- Om appen lukkes ved å trykke på hjemknappen, og sammen med appen også boksen, så var det et angrepsforsøk
- Om dialogen og appen ikke forsvinner ved trykk på hjemknappen, er den systemdialogboks (systemdialogboksene kjører som en egen prosesss, og ikke som en del av noen iOS-app)
- Ikke tast inn brukernavn og passord når boksen popper opp, men gjør det manuelt fra iOS’ innstillinger.
Dette er spesielt skummelt: “Om du trykker avbryt, men tastet passordet før du valgte å avbryte, har trolig appen allerede klart å lure til seg passordet”.
Kilde:
Felix Krause
Annonse