Wenn Sie ein iPhone besitzen, sind Sie es gewohnt, dass Sie beim Einkaufen in iTunes, im App Store oder in Apps eine scheinbar ständige Abfrage Ihrer Apple-ID vornehmen. Ein kleines Pop-up erscheint, Sie rollen mit den Augen und geben pflichtbewusst Ihr Passwort ein.
Aber was ist, wenn dieses Pop-up nicht von Apple stammt, sondern wie eine offizielle Anfrage von Hackern aussieht, um Ihre Zugangsdaten zu stehlen? So argumentiert App-Entwickler Felix Krause, der a Proof-of-Concept-Aufschlüsselung von bösartigen Lookalike-Popups.
Wie Krause anmerkt, können weniger als 30 Zeilen Code verwendet werden, um einen sehr überzeugenden Phishing-Dialog zu erstellen. In nebeneinander liegenden Bildern vergleicht er Apples offizielle ID-Passwort-Anfrage mit seinen eigenen Bemühungen. Die Idee wäre, dass der Code mit einer App eingeschmuggelt wird, sodass der Benutzer tatsächlich die Benachrichtigung der App – nicht die Benutzeroberfläche von Apple – sieht. Wie seine Bilder zeigen, kann dies von einem Entwickler so gestaltet werden, dass er mit einem Popup-Fenster zur Anmeldung im iTunes Store identisch aussieht.
Das Hauptproblem von Apple ist, dass iOS es schwierig macht, den Unterschied zwischen Benachrichtigungsquellen zu erkennen. iOS sollte sehr klar zwischen System-UI- und App-UI-Elementen unterscheiden, damit im Idealfall […] für den durchschnittlichen Smartphone-Nutzer offensichtlich ist, dass etwas nicht stimmt, sagt Krause.
Siehe verwandte Das Geschäft mit Malware Bereiten Sie sich auf einen großen Cyber-Angriff vor, warnt das National Cyber Security Center Equifax ist gezwungen, eine Webseite mit fragwürdigen Downloads und Malware zu deaktivieren serving Dies ist ein schwierig zu lösendes Problem, und der Webbrowser nimmt es immer noch in Angriff. Sie haben immer noch Websites, die Popups wie macOS / iOS-Popups aussehen lassen, so dass viele Benutzer denken, dass sie Systemnachrichten sind.
Krause fügt einige mögliche Lösungen für das Problem hinzu, z. B. den Benutzer zu zwingen, sein Passwort in der Einstellungs-App anstelle eines Popups einzugeben. Wahrscheinlicher ist sein Vorschlag, dass Apple das Design seiner Systemaufforderungen ändert, um ein zusätzliches Symbol hinzuzufügen, das darauf hinweist, dass es sich um eine offizielle Anfrage handelt. Er weist auf das Ausrufezeichen hin, das in einigen Push-Benachrichtigungen unten verwendet wird.
So sehen Sie Ihre Nachrichten auf Instagram
Im Moment stellt der Entwickler einige Schritte fest, die Benutzer unternehmen können, um mobiles Phishing zu verhindern. Am einfachsten ist es, die Home-Taste zu drücken. Wenn dadurch die App und der Dialog geschlossen werden, handelte es sich um einen Phishing-Angriff. Wenn der Dialog und die App noch sichtbar sind, handelt es sich um einen Systemdialog.
Es ist auch erwähnenswert, dass diese Art von Angriff davon abhängt, dass die bösartige App durchkommtden Überprüfungsprozess im App Store und die Aktivierung des Codes durch den Entwickler. Apple ist bei solchen Dingen im Allgemeinen am Ball und würde Maßnahmen ergreifen, wenn ein solcher Verstoß gegen seine Richtlinien festgestellt würde. Krause merkt das allerdings anOrganisationen mit schlechten Absichten werden immer einen Weg finden, die Einschränkungen einer Plattform irgendwie zu umgehen.