Εάν διαθέτετε iPhone, θα είστε συνηθισμένοι σε αυτό που μοιάζει με διαρκές αίτημα για το Apple ID σας όταν πραγματοποιείτε αγορές στο iTunes, στο App Store ή σε εφαρμογές. Εμφανίζεται λίγο αναδυόμενο παράθυρο, ρίχνετε τα μάτια σας και εισαγάγετε τον κωδικό πρόσβασής σας.
Τι γίνεται όμως αν αυτό το αναδυόμενο παράθυρο δεν προέρχεται από την Apple και έχει σχεδιαστεί έτσι ώστε να μοιάζει με επίσημο αίτημα σε μια προσπάθεια χάκερ να κλέψουν τα διαπιστευτήριά σας; Αυτή είναι η υπόθεση που υπέβαλε ο προγραμματιστής εφαρμογών Felix Krause, ο οποίος έχει γράψει ένα ανάλυση απόδειξης της έννοιας κακόβουλων αναδυόμενων παραθύρων.
Όπως σημειώνει ο Krause, λιγότερες από 30 γραμμές κώδικα μπορούν να χρησιμοποιηθούν για να κάνουν έναν πολύ πειστικό διάλογο ηλεκτρονικού ψαρέματος. Σε εικόνες δίπλα-δίπλα, συγκρίνει το επίσημο αίτημα κωδικού πρόσβασης της Apple με τις δικές του προσπάθειες. Η ιδέα θα ήταν να γίνει λαθραία κωδικός με μια εφαρμογή, έτσι ώστε να είναι στην πραγματικότητα η ειδοποίηση της εφαρμογής - όχι η διεπαφή χρήστη της Apple - που βλέπει ο χρήστης. Όπως δείχνουν οι φωτογραφίες του, αυτό μπορεί να σχεδιαστεί από έναν προγραμματιστή ώστε να μοιάζει με ένα αναδυόμενο παράθυρο 'Σύνδεση στο iTunes Store'.
Το κύριο ζήτημα, από την πλευρά της Apple, είναι ότι το iOS δυσκολεύει να πει τη διαφορά μεταξύ των πηγών ειδοποιήσεων. Το iOS θα πρέπει να ξεχωρίζει πολύ σαφώς μεταξύ των στοιχείων UI συστήματος και UI εφαρμογών, έτσι ώστε στην ιδανική περίπτωση να είναι […] προφανές για τον μέσο χρήστη του smartphone ότι κάτι δεν φαίνεται, λέει ο Krause.
Δείτε σχετικές Η επιχείρηση του κακόβουλου λογισμικού Προετοιμαστείτε για μεγάλη επίθεση στον κυβερνοχώρο, προειδοποιεί το Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο, η Equifax αναγκάζεται να καταργήσει μια ιστοσελίδα που να προσφέρει δύσκολες λήψεις και κακόβουλα προγράμματα Αυτό είναι ένα δύσκολο πρόβλημα για επίλυση και το πρόγραμμα περιήγησης ιστού το αντιμετωπίζει ακόμα. εξακολουθείτε να έχετε ιστότοπους που κάνουν αναδυόμενα παράθυρα να μοιάζουν με αναδυόμενα παράθυρα macOS / iOS, έτσι ώστε πολλοί χρήστες να πιστεύουν ότι είναι μηνύματα συστήματος.
Το Krause προσθέτει μερικές πιθανές λύσεις στο πρόβλημα, όπως το να αναγκάσει τον χρήστη να εισαγάγει τον κωδικό πρόσβασής του στην εφαρμογή ρυθμίσεων αντί για ένα αναδυόμενο παράθυρο. Πιο πιθανό να συμβεί είναι η πρότασή του ότι η Apple αλλάξει το σχεδιασμό του συστήματός της ζητά να συμπεριλάβει ένα επιπλέον εικονίδιο που δείχνει ότι είναι επίσημο αίτημα. Δείχνει το θαυμαστικό που χρησιμοποιείται σε ορισμένες ειδοποιήσεις Push, παρακάτω.
πώς να μεταφέρετε το candy crush σε νέο iphone
Προς το παρόν, ο προγραμματιστής σημειώνει μερικά βήματα που μπορούν να κάνουν οι χρήστες για να αποτρέψουν το ηλεκτρονικό ψάρεμα (phishing). Ο ευκολότερος είναι να πατήσετε το κουμπί Home. Εάν αυτό κλείσει την εφαρμογή και το διάλογο, τότε ήταν μια επίθεση ηλεκτρονικού ψαρέματος. Εάν ο διάλογος και η εφαρμογή εξακολουθούν να είναι ορατές, τότε είναι ένας διάλογος συστήματος.
Αξίζει επίσης να σημειωθεί ότι αυτός ο τύπος επίθεσης θα εξαρτιόταν από την κακόβουλη εφαρμογή που την έκανεη διαδικασία ελέγχου του App Store και ο κωδικός ενεργοποιείται από τον προγραμματιστή. Η Apple είναι εν γένει με αυτό το είδος πραγμάτων και θα λάβει μέτρα εάν εντοπιστεί τέτοια παραβίαση των οδηγιών της. Ωστόσο, ο Krause το σημειώνει αυτόΟι οργανισμοί με κακή πρόθεση θα βρίσκουν πάντα έναν τρόπο να επιλύσουν κατά κάποιο τρόπο τους περιορισμούς μιας πλατφόρμας.