Sekiranya anda memiliki iPhone, anda akan terbiasa dengan permintaan yang tetap untuk ID Apple anda semasa membuat pembelian di iTunes, di App Store atau di dalam aplikasi. Muncul sedikit pop timbul, anda memutar mata, dan memasukkan kata laluan anda dengan berhati-hati.
Tetapi bagaimana jika pop timbul itu bukan berasal dari Apple, dan sebaliknya dirancang untuk kelihatan seperti permintaan rasmi dalam usaha penggodam untuk mencuri bukti kelayakan anda? Itulah kes yang dikemukakan oleh pemaju aplikasi Felix Krause, yang telah menulis sebuah pemecahan bukti-konsep timbul seperti yang berniat jahat.
Seperti yang dinyatakan oleh Krause, kurang daripada 30 baris kod dapat digunakan untuk membuat dialog pancingan data yang sangat meyakinkan. Dalam gambar bersebelahan, dia membandingkan permintaan kata laluan rasmi ID Apple dengan usaha sendiri. Ideanya adalah bahawa kod itu diselundupkan dengan aplikasi, sehingga sebenarnya pemberitahuan aplikasi - bukan UI Apple - yang dilihat pengguna. Seperti yang ditunjukkan oleh gambarnya, ini dapat dirancang oleh pembangun agar kelihatan sama dengan pop timbul Log masuk ke iTunes Store.
Isu utama, dari pihak Apple, adalah bahawa iOS menyukarkan perbezaan antara sumber pemberitahuan. iOS harus dengan jelas membezakan antara elemen UI sistem dan UI aplikasi, jadi idealnya […] jelas bagi pengguna telefon pintar biasa bahawa ada sesuatu yang tidak betul, kata Krause.
Lihat yang berkaitan Perniagaan malware Menyiapkan serangan siber utama, memberi amaran bahawa Pusat Keselamatan Siber Nasional Equifax terpaksa mengambil laman web yang memuat turun muat turun dan perisian hasad Ini adalah masalah yang sukar untuk diselesaikan, dan penyemak imbas web masih mengatasinya; anda masih mempunyai laman web yang menjadikan pop timbul kelihatan seperti pop timbul macOS / iOS, sehingga banyak pengguna berpendapat bahawa mereka adalah sistem mesej.
Krause menambahkan beberapa kemungkinan solusi untuk masalah tersebut, seperti memaksa pengguna memasukkan kata laluan mereka di aplikasi tetapan dan bukannya munculan. Kemungkinan besar berlaku adalah cadangannya agar Apple mengubah reka bentuk sistemnya agar memasukkan ikon tambahan yang menunjukkan bahawa ia adalah permintaan rasmi. Dia menunjukkan tanda seru yang digunakan dalam beberapa pemberitahuan Push, di bawah.
cara menyertai kumpulan jam sembang kumpulan
Buat masa ini, pembangun mencatat beberapa langkah yang boleh diambil pengguna untuk mengelakkan pancingan data mudah alih. Yang paling mudah adalah dengan menekan butang Laman Utama anda. Sekiranya ini menutup aplikasi dan dialog, maka itu adalah serangan pancingan data. Sekiranya dialog dan aplikasinya masih dapat dilihat, ini adalah dialog sistem.
Perlu juga diperhatikan bahawa jenis serangan ini bergantung pada aplikasi jahat yang berjayaproses semakan App Store, dan kod kemudian diaktifkan oleh pembangun. Apple pada umumnya menggunakan bola jenis ini, dan akan bertindak sekiranya pelanggaran pedoman tersebut dapat dikesan. Krause bagaimanapun memperhatikannyaorganisasi yang mempunyai niat buruk akan sentiasa mencari jalan untuk mengatasi batasan platform.