В iOS знайшли вразливість у системі безпеки Apple ID

Розробник Фелікс Краузе виявив в операційній системі iOS баг, що дозволяє зловмисникам вкрасти логін і пароль від Apple ID. Для цього використовується системна функція UIAlertController, яка відповідає за виклик спливаючого вікна із запитом конфіденційних даних. Так як таке повідомлення - не рідкість для користувачів iOS, то найчастіше вони вводять необхідну інформацію, не замислюючись. Як виявилося, це може привести до втрати особистих даних, грошових коштів та інших неприємних наслідків. Нижче піде мова про те, як боротися з таким багом.



Як видно на скріншоті вище, відрізнити підроблене повідомлення від справжнього просто неможливо. А так як в iOS таке вікно може з'явитися при оновленні системи, проблемі з встановленням програми, покупці внутрішньоігрових коштів, наданні доступу сторонніх додатків до iCloud або Game Center і в ряді інших ситуацій, то користувачі найчастіше вводять свої дані і ні про що не замислюються.

«У відображенні діалогового вікна, яке виглядає так само, як системне спливаюче вікно, немає нічого складного. Немає ніякого чарівного або секретного коду. Це – практично приклади, представлені в документах Apple, за допомогою спеціального тексту. Я вирішив не розкривати вихідний код спливаючого вікна, однак зверніть увагу, що це менше 30 рядків коду, і кожен розробник iOS зможе швидко застосувати його в своєму додатку», - заявив Фелікс Краузе.

Він зазначає, що протягом довгих років такий спосіб крадіжки особистих даних був великою проблемою для настільних браузерів – сайти точно так же відображали підроблені спливаючі вікна, які були майже ідентичні звичайним системним повідомленням. З iOS зараз відбувається та ж ситуація. Фелікс говорить, що він вже розповів про це Apple, але попередив, що зараз компанія не може заборонити введення паролів у спливаючих вікнах.

Поки Apple не виправить цю помилку, Фелікс Краузе пропонує наступні способи, як убезпечити себе:

1. При появі такого повідомлення натиснути кнопку «Додому» і перевірити, чи ховається воно. Якщо додаток згорнувся разом зі спливаючим вікном, то це була фішингова атака. Якщо ж повідомлення і програма залишаються відкритими, то це є системне повідомлення.

2. Не вводити дані облікового запису через спливаючі вікна. Замість цього слід скасувати процес і ввести пароль через «Налаштування».

P.S. Якщо ви вже набрали логін і пароль, але потім натиснули «Скасувати», то зловмисники все одно отримають ваші дані. Тому краще не вводити ніяких особистих даних у таких вікнах від непідтверджених додатків.

За матеріалами: 4pda.ru



Коментарі

УВАГА! Всі маніпуляції, описані в даному блозі, які ви робите зі своїми пристроями, ви робите на свій страх і ризик! Автор блогу не несе ніякої відповідальності за пошкодження, що виникнуть у випадку неполадок чи поломок ґаджетів.