Kung nagmamay-ari ka ng isang iPhone, masasanay ka sa kung ano ang tila isang pare-pareho na kahilingan para sa iyong Apple ID kapag bumibili sa iTunes, sa App Store o sa loob ng mga app. Lumilitaw ang isang maliit na pop-up, iginulong mo ang iyong mga mata, at matapat na ipasok ang iyong password.
Ngunit paano kung ang pop-up na iyon ay hindi nagmula sa Apple, at sa halip ay dinisenyo upang magmukhang isang opisyal na kahilingan sa pagtatangka ng mga hacker na nakawin ang iyong mga kredensyal? Iyon ang kaso na ipinasa ng developer ng app na si Felix Krause, na sumulat ng a pagkasira ng patunay-ng-konsepto ng mga nakakahamak na lookalike pop-up.
Tulad ng tala ni Krause, mas kaunti sa 30 mga linya ng code ang maaaring magamit upang makagawa ng isang napaka-nakakumbinsi na diyalogo sa phishing. Sa mga magkatabing larawan, inihinahambing niya ang opisyal na kahilingan sa password ng Apple sa kanyang sariling pagsisikap. Ang ideya ay ang smuggle sa code gamit ang isang app, sa gayon ito talaga ang notification ng app - hindi ang Apple UI - na nakikita ng gumagamit. Tulad ng ipinakita ng kanyang mga larawan, maaari itong idisenyo ng isang developer upang magmukhang magkapareho sa isang pag-sign in sa pop-up ng iTunes Store.
Ang pangunahing isyu, mula sa panig ng Apple, ay ginagawang mahirap ng iOS na sabihin ang pagkakaiba sa pagitan ng mga mapagkukunan ng abiso. Dapat malinaw na makilala ng iOS ang pagkakaiba sa pagitan ng system UI at mga elemento ng app UI, nang sa gayon perpekto na […] halata para sa average na gumagamit ng smartphone na may isang bagay na parang naka-off, sabi ni Krause.
Tingnan ang kaugnay Ang negosyo ng malware Maghanda para sa pangunahing pag-atake sa cyber, binalaan ang Pambansang Cyber Security Center Equifax ay pinilit na kumuha ng isang web page na naghahatid ng mga dodgy download at malware Ito ay isang nakakalito na problema upang malutas, at hinaharap pa rin ito ng web browser; mayroon ka pa ring mga website na gumagawa ng mga pop-up na parang mga macOS / iOS popup, sa gayon maraming mga gumagamit ang nag-iisip ng [mga ito] mensahe ng system.
Nagdagdag si Krause ng ilang mga potensyal na solusyon sa problema, tulad ng pagpwersa sa gumagamit na ipasok ang kanilang password sa mga setting app sa halip na isang pop-up. Mas malamang na mangyari ang kanyang mungkahi na baguhin ng Apple ang disenyo ng system nito na hinihimok na magsama ng isang karagdagang icon na nagsasaad na ito ay isang opisyal na kahilingan. Itinuro niya ang tandang padamdam na ginamit sa ilang mga notification sa Push, sa ibaba.
windows 10 start bar wont open
Sa ngayon, itinala ng developer ang ilang mga hakbang na maaaring gawin ng mga gumagamit upang maiwasan ang mobile phishing. Ang pinakamadali ay pindutin ang iyong pindutan ng Home. Kung isinasara nito ang app at ang dayalogo, pagkatapos ito ay isang atake sa phishing. Kung ang dialog at ang app ay nakikita pa rin, pagkatapos ito ay isang dayalogo ng system.
Mahalaga rin na tandaan na ang ganitong uri ng pag-atake ay nakasalalay sa nakakahamak na app na tinatapos nitoang proseso ng pagsusuri ng App Store, at ang code pagkatapos ay ginawang aktibo ng developer. Sa pangkalahatan ay nasa bola ang Apple na may ganitong uri ng bagay, at magsasagawa ng pagkilos kung ang isang paglabag sa mga patnubay nito ay napansin. Krause ay gayunpaman tandaan naang mga samahang may masamang hangarin ay palaging makakahanap ng isang paraan upang kahit papaano magtrabaho sa paligid ng mga limitasyon ng isang platform.