Si teniu un iPhone, estareu acostumats a allò que sembla una sol·licitud constant del vostre ID d’Apple quan feu compres a iTunes, a l’App Store o a les aplicacions. Apareix una petita finestra emergent, gireu els ulls i introduïu la vostra contrasenya amb diligència.
Però, què passa si aquesta finestra emergent no prové d’Apple i, en canvi, ha estat dissenyada per semblar una sol·licitud oficial en un intent dels pirates informàtics de robar-vos les vostres credencials? Aquest és el cas proposat pel desenvolupador d'aplicacions Felix Krause, que ha escrit un desglossament de la prova de concepte de finestres emergents amb aspecte maliciós.
Com assenyala Krause, es poden utilitzar menys de 30 línies de codi per crear un diàleg de pesca molt convincent. En imatges paral·leles, compara la sol·licitud de contrasenya d’identificació oficial d’Apple amb els seus propis esforços. La idea seria que el codi es contrabandés amb una aplicació, de manera que l’usuari veu la notificació de l’aplicació (no la interfície d’usuari d’Apple). Tal com mostren les seves imatges, un desenvolupador el pot dissenyar perquè sembli idèntic a una finestra emergent Inicia sessió a l'iTunes Store.
El principal problema, per part d’Apple, és que iOS fa que sigui difícil diferenciar entre les fonts de notificació. iOS hauria de distingir molt clarament entre la interfície d’usuari del sistema i els elements de la interfície d’usuari de l’aplicació, de manera que l’ideal seria [...] obvi per a l’usuari mitjà de telèfons intel·ligents que alguna cosa sembli fora, diu Krause.
Vegeu-ho relacionat El negoci del malware Prepareu-vos per un ciberatac important, adverteix que el Centre Nacional de Seguretat Cibernètica Equifax es veu obligat a enderrocar una pàgina web que serveixi descàrregues i programari maliciós Aquest és un problema complicat de resoldre i el navegador web encara ho està resolent; encara teniu llocs web que fan que les finestres emergents semblin finestres emergents de macOS / iOS, de manera que molts usuaris pensen que són missatges del sistema.
Krause afegeix algunes solucions potencials al problema, com ara obligar l'usuari a introduir la seva contrasenya a l'aplicació de configuració en lloc d'una finestra emergent. És més probable que succeeixi el seu suggeriment que Apple canviï el disseny del sistema i li demani que inclogui una icona addicional que indiqui que és una sol·licitud oficial. Assenyala a continuació el signe d’exclamació utilitzat en algunes notificacions push.
es pot utilitzar el teclat i el ratolí a ps4
De moment, el desenvolupador assenyala un parell de passos que poden fer els usuaris per evitar la pesca amb suplement de telefonia mòbil. El més senzill és prémer el botó d'inici. Si això tanca l'aplicació i el diàleg, es tractaria d'un atac de pesca. Si el diàleg i l'aplicació encara són visibles, es tracta d'un diàleg del sistema.
També val la pena assenyalar que aquest tipus d’atac dependria de l’aplicació maliciosa que estigui realitzantel procés de revisió de l'App Store i el desenvolupador activarà el codi. Generalment, Apple està en joc amb aquest tipus de coses i prendria mesures si es detectés aquesta violació de les seves directrius. Tanmateix, Krause nota aixòles organitzacions amb mala intenció sempre trobaran la manera d’eludir d’alguna manera les limitacions d’una plataforma.
