Opatrnosti pri pri zadávaní citlivých údajov v akomkoľvek operačnom systéme nikdy nie je dosť. Navyše produkty ako iOS, ktoré využívajú milióny ľudí, sú pre hackerov veľmi atraktívne. Vývojár Felix Krause nedávno práve v tomto systéme odhalil zraniteľnosť, ktorá môže viesť až k oklamaniu používateľa a strate osobných údajov.
Sleduj Fontech.sk aj na Facebooku, YouTube a Instagrame!
Krause ako problémové prvky opisuje oficiálne vyskakovacie okná, ktoré Apple využíva pri iPhonoch a iPadoch. iOS cez túto funkciu získava od používateľov Apple ID a heslo, napríklad pri platbách alebo pri prihlasovaní do iCloudu. Problémom je, že takýto postup sa využíva aj mimo aplikácií App Store alebo iTunes, no a to môžu hackeri zneužiť. Vývojári totiž vedia vytvoriť identický prvok s rovnakým rozhraním ako sú oficiálne vyskakovacie okná od Apple.
Falošné okno
Podľa Krausea je naprogramovanie falzifikátu veľmi jednoduché, ide pritom len o 30 riadkov kódu, ktoré pre iOS vývojára nebudú problém. Pri kopírovaní je pritom možné pomôcť si nástrojom UIAlertController a oficiálnou dokumentáciou od Apple, kde sa nachádzajú príklady. Ak sa následne tieto okopírované funkcie použijú na pishingový útok v niektorej zo stiahnutých aplikácií, môžu viesť k oklamaniu používateľa.
Treba byť opatrný
Apple o celom probléme vie a prihliada na to už pri schvaľovaní aplikácií do obchodu App Store, no Krause odporúča ďalšie opatrenia. Riešením by mohlo byť, ak by zadávanie prihlasovacích údajov prebiehalo priamo v nastaveniach a nie cez vyskakovacie okná. Prípadne by tieto prvky mali obsahovať ikonu aplikácie, ktorá by používateľovi ukazovala, ktorý program údaje vyžaduje. V takom prípade by bolo možné jednoduchšie spozorovať, že nejde o žiadosť systému.
Každopádne pri zadávaní hesiel treba byť opatrný. Ak využívaš mobilný operačný systém od Apple a objaví sa ti vyskakovacie okno, je dobré si stlačením domovského tlačidla overiť, či ide o systémovú požiadavku. Pokiaľ po stlačení ostane výzva na zadanie hesla zobrazená je všetko v poriadku, ak okno zmizne, pravdepodobne ide o pishingový útok. Krause tiež odporúča využívať na prihlasovanie do služieb priamo nastavenia v iOS a nie kontextové prvky.
