Felix Kraus, a program fejlesztője honlapján Fastlane, ma egy nagyon érdekes információ látott napvilágot az adathalász támadások végrehajtásának legújabb módszerével kapcsolatban, amely jelenleg iOS platformon is végrehajtható. Ez a támadás az eszköz felhasználói jelszavát célozza, és főleg azért veszélyes, mert valóban valódinak tűnik. És olyan mértékben, hogy a megtámadott felhasználó saját kezdeményezésére elveszítheti jelszavát.
Felix egyedül weboldal az adathalász támadás új koncepcióját képviseli, amely iOS-eszközökre is eljuthat. Ez még nem történik meg (bár több éve lehet), ez csak annak bemutatása, hogy mi lehetséges. Logikusan a szerző nem jeleníti meg weboldalán ennek a hacknek a forráskódját, de nem valószínű, hogy valaki kipróbálja.
Alapvetően ez egy támadás, amely egy iOS párbeszédpanelt használ a felhasználó Apple ID-fiókjának jelszavának lekérésére. A probléma az, hogy ezt az ablakot nem lehet megkülönböztetni a valóditól, amely akkor jelenik meg, amikor engedélyezi a műveleteket az iCloudban vagy az App Store-ban.
A felhasználók hozzászoktak ehhez a felugró ablakhoz, és alapvetően automatikusan kitöltik, amikor megjelenik. A probléma akkor merül fel, ha ennek az ablaknak nem maga a rendszer, hanem egy rosszindulatú támadás a forrása. Hogy néz ki ez a fajta támadás, azt a galéria képei között láthatja. Felix weboldala pontosan leírja, hogyan fordulhat elő egy ilyen támadás, és hogyan lehet azt kihasználni. Elég, ha az iOS-eszközre telepített alkalmazás tartalmaz egy adott szkriptet, amely inicializálja ezt a felhasználói felület interakcióját.
Az ilyen típusú támadások elleni védekezés viszonylag egyszerű, de kevesen gondolnák, hogy alkalmazzák. Ha valaha is megjelenik egy ilyen ablak, és azt gyanítja, hogy valami nem stimmel, csak nyomja meg a Kezdőlap gombot (vagy annak szoftveres megfelelőjét…). Az alkalmazás összeomlik a háttérben, és ha a jelszó párbeszédpanel jogos volt, akkor is látni fogja a képernyőn. Ha adathalász támadásról volt szó, az alkalmazás bezárásakor az ablak eltűnik. További módszereket itt találhat a szerző honlapja, melynek elolvasását javaslom. Valószínűleg csak idő kérdése, hogy a hasonló támadások mikor terjednek át az App Store-ban található alkalmazásokra.
Forrás: krausefx
Tehát egy ilyen támadás egy legitim alkalmazásban valószínűleg nem menne át az Apple ellenőrzése alól, igaz?
Tehát még egyszer: ha nincs jailbreak, akkor nincs hova elkapni.
PS: Még soha nem láttam ezt a "rendes" hangot. Mindenhol Touch ID-t használok ;-).
Nos, ma már láttam őt. Az iPad miniben pedig nincs TID. Épp tegnap este kaptam egy e-mailt, hogy valaki megpróbál bejelentkezni az Apple ID-vel a Chrome-ból Windowson. Reggel persze azonnal jelszót váltottam. Reggel, amikor a SIM-mentes iPad mini felkerült a wifire és az internetre, elveszettnek és lezártnak jelentette, és az e-mailemben kaptam egy üzenetet erről. Feltételezem, hogy a jelszó megváltoztatása mindent megoldott, de tényleg mindenki vigyázzon. A legjobban az iPad kijelzőjén megjelenő üzenet lepett meg, lásd a képet. Ez számomra nem tűnik teljesen szabványosnak, és az e-mail cím mindent elmond – ez egy átverés, és meg akarták szerezni a bejelentkezési adataimat.
… Lásd a képen. https://uploads.disquscdn.com/images/81787f49f7358d75acc8a8265cc5014288f07bed46bceeca1254da2086501947.png
És milyen alkalmazás volt ez, ha szabad kérdeznem?
Köszönöm.
Nem tudok semmilyen alkalmazásról, nem tudok semmiről. Az iPadet keveset, gyakorlatilag szinte egycélra használom, az alkalmazási felszereltsége is ennek megfelel - pár alap dolog, semmi más, üres. Az időnkénti frissítésen kívül (márpedig kevés) nem igazán telepítek oda semmit, így ez az utolsó készülékem, ahol ilyesmire számítanék.
És van Jailbreak?
Igen, persze, hülye vagyok. Elvették a jelszavát, megadták az "elveszett eszközt" és üzenetet írtak. Bocsánat. A kérdés az, hogy honnan szerezték be a jelszavadat. Több szolgáltatáshoz ugyanaz a jelszava? Kiszivárgott az interneten (megtalálható a weboldalon https://haveibeenpwned.com hol írod be az e-mail címedet vagy a felhasználónevedet)?
Csak arra gondolok, hogy a fiúknak nem ez jutott eszébe, amikor meghagyták neked az eredeti jelszót, pedig neked nagyon jó, de ezt hívják klikknek.
Igen, azt hiszem, lehetett volna. Természetesen van rekordja ezen az oldalon. De minden 10 évnél régebbi e-mail címnek lennie kell. :-)
Nincs jailbreakem, és soha nem is volt.
Vannak újabbak is :-) Csak annyit kellett tenned, hogy rosszkor van a LinkedIn és a Dropbox, és máris megtörténik veled :-)
Heh, ha erről valamikor a 3GS-re váltás után írtam volna, amikor ezen gondolkodtam, akkor lehettem volna "híres"... Nah, a történelem nem játszik :-D
Másrészt, ha felugrik az ablak, és nem vagyok tudatában annak, hogy interakciót kezdeményeznék az AppStore-ral, akkor a jelszó megadása nélkül lemondok...
Ez most történt velem az iPhone aktiválása közben. Remélem elég egy kihagyást adni. Csak az e-mailem alá írom be a jelszót.