Hopp til navigasjon Hopp til innhold
Dialogboksen til høyre er den falske. (Ill.: Felix Krause)

Klarer du se forskjell? Den ene stjeler Apple-passordet ditt, den andre ikke

Hvem som helst kan kode dette.

Apple bør snarest rette en utviklermulighet som gjør det mulig å utvikle apper med en dialogboks det er lett å la seg lure av.

Kan misbrukes
Du har fått beskjeden mange ganger om du er iOS-bruker: Dialog-boksen som spretter opp er umulig å fjerne, og krever passord for App Store-nedlastinger og apper som krever tilgang til iCloud, GameCenter eller i-app-kjøp.

Det store problemet er at dialog-boksen som minner om den Apple bruker i iOS, kan manes frem av hvilken som helst utvikler om personen bruker, i dette tilfellet misbruker, «UIAlertController«.

Det er utvikler Felix Krause som setter søkelyset på dette, og forklarer at det er svært enkelt for en utvikler å gjenskape boksen med mindre enn 30 linjer med kode. Av sikkerhetsårsaker har han ikke åpen kildekodet-prosjektet.

Slik kan du beskytte deg
Krause har flere metoder som enkelt avslører en slik phising-app:

  • Om appen lukkes ved å trykke på hjemknappen, og sammen med appen også boksen, så var det et angrepsforsøk
  • Om dialogen og appen ikke forsvinner ved trykk på hjemknappen, er den systemdialogboks (systemdialogboksene kjører som en egen prosesss, og ikke som en del av noen iOS-app)
  • Ikke tast inn brukernavn og passord når boksen popper opp, men gjør det manuelt fra iOS’ innstillinger.

Dette er spesielt skummelt: «Om du trykker avbryt, men tastet passordet før du valgte å avbryte, har trolig appen allerede klart å lure til seg passordet».

Nesten umulig å se forskjell: Her demonstrerer Krause hvordan boksen kan dukke opp under app-bruk.
Nesten umulig å se forskjell: Her demonstrerer Krause hvordan boksen kan dukke opp under app-bruk. (Ill.: Felix Krause)

 

Kilde:
Felix Krause

Stikkord: apple, iphone, sikkerhet