szukaj

10.10.2017 | 23:44

avatar

Adam Haertle

Uwaga użytkownicy iOS, ten phishing jest prawie perfekcyjny

Na naszych prezentacjach często pokazujemy różne ataki na użytkowników, zatem ich widok nie jest nam obcy. Ten jednak zrobił na nas naprawdę duże wrażenie swoją prostotą i potencjalną skutecznością.

Każdy użytkownik iPhona przyzwyczajony pewnie jest do tego, że system potrafi go w różnych momentach zapytać o hasło do usługi iCloud (pozwalające w zasadzie na dostęp do wszystkiego, co użytkownik zdecydował się do chmury przesłać plus np. instalację aplikacji i aktualizacji systemowych). Okazuje się, że wyświetlenie podobnej, a nawet identycznej prośby na ekranie telefonu nie jest żadnym problemem. Spójrzcie tylko na poniższe zrzuty ekranu.

Które okno z pytaniem o hasło jest prawdziwe? Możecie tylko zgadywać, sam obrazek nie wystarczy by ocenić zagrożenie. My podpowiemy, że prawy jest prawdziwy, a poniżej znajdziecie instrukcję, jak samodzielnie sprawdzić to na swoim telefonie.

Tak banalne że aż nie chce się wierzyć

Felix Krause opisał ten dość prosty atak na swoim blogu. Nie opublikował kodu niezbędnego do wyświetlenia okna dialogowego, ale napisał, że przykłady łatwo znaleźć w każdej instrukcji dla programistów. Okno z pytaniem o hasło może wyświetlić każda aplikacja i będzie ono wyglądało tak samo, jak okno wyświetlane przez system operacyjny. Apple nie postarało się w żaden widoczny na pierwszy rzut oka sposób odróżnić pytania fałszywego od prawdziwego. Co więcej, pytanie prawdziwe pojawia się tak często, że zapewne nie raz już wpisywaliście swoje hasło bez weryfikowania, czy podajecie je systemowi operacyjnemu, czy hakerowi.

Jak rozpoznać fałszywkę i inne pytania

Na szczęście metoda rozpoznania okna prawdziwego jest dość prosta – wystarczy nacisnąć guzik Home. Jeśli okno wyświetlone było przez system operacyjny, pozostanie widoczne. Jeśli przez aplikację – zniknie z ekranu. Co ważne, nie powinniście wpisywać hasła do okna przed jego weryfikacją – nawet jeśli naciśniecie guzik „Anuluj”, złośliwa aplikacja może wpisane hasło odczytać.

Co z uwierzytelnieniem dwuskładnikowym? Oczywiście ta metoda go nie omija, jednak co jeśli potem pojawi się drugie okno z prośbą o podanie np. kodu 2FA? Nic nie stoi na przeszkodzie, by złośliwa aplikacja przekazała swojemu twórcy także ten kod.

Co z adresem email? Czasem pojawiają się w iOS także okna z pytaniem o hasło bez adresu email, zatem jeśli złośliwa aplikacja Waszego adresu nie zna, to może go po prostu ominąć.

Czy złośliwa aplikacja może trafić do sklepu Apple? Może, takie przypadki zdarzały się już w przeszłości.

Co dalej?

Użytkownikom iOS pozostaje włączyć 2FA (jeśli tego nie zrobili) i liczyć na to, ze Apple kiedyś oznaczy dialogi systemowe i aplikacyjne w różny sposób. Do tego momentu trzeba przy pytaniu o hasło naciskać guzik Home i sprawdzać efekt.

Powrót

Komentarze

  • avatar
    2017.10.11 09:56 Gosc

    A skąd „fałszywa” aplikacja wyświetlająca ten dialog zna Apple ID? To jest ogólnie dostępne dla aplikacji?

    Odpowiedz
    • avatar
      2017.10.11 10:57 duck

      Nie nie jest, ale nic nie stoi na przeszkodzie aby aplikacja przy „logowaniu” poprosiła o twój email, jest duża szansa że będzie taki sam jak ten w AppleID.

      Odpowiedz
  • avatar
    2017.10.11 10:07 Adam

    Po pierwsze, iOS wcale tak często nie pyta o hasło do iCloud, a już tym bardziej o hasło do iTunes Store – to drugie wyświetla się w ściśle określonych sytuacjach, jak zakup czy aktualizacja aplikacji.

    Po drugie, co ma zmienić że Apple zmieni wygląd systemowych dialogów, w jaki sposób ma to uniemożliwić ich podrabianie, przecież wygląd dialogu można sobie skomponować dowolnie. Jakimś rozwiązaniem byłoby ich powiązanie np. z systemowym status barem, albo innym miejscem systemy, gdzie normalnie aplikacje nie mogą wyświetlać własnych treści.

    Odpowiedz
    • avatar
      2017.10.12 06:31 Pawel

      Apple może zmienić sposób logowania do iCloud. Zamiast okienka w aplikacji możesz być przenoszony do ustawień, czyli do obszaru, który na pewno kontroluje Apple

      Odpowiedz
  • avatar
    2017.10.11 10:11 Alan

    I serio nie widzicie różnicy w stopniu nachylenia „?

    Odpowiedz
  • avatar
    2017.10.11 14:51 zajaczek

    Czy opisany w artykule środek zaradczy dotyczy również innych monitów o hasło? Zrobiłam test: weszłam do AppStore, kliknęłam, aby ściągnąć dowolną apkę – wtedy pojawił się monit o hasło do AppStore, ponieważ tak mam ustawione – następnie zgodnie z instrukcją nacisnęłam Home. Wtedy monit o hasło zniknął, został tylko interfejs AppStore. Zgodnie z wyjaśnieniem miałoby to oznaczać, że był to atak phishingowy, ale przecież ja wiem, że nie był. Jak to rozumieć? iOS 11.0.2.

    Odpowiedz
  • avatar
    2017.10.12 10:16 Lech

    „Które okno z pytaniem o hasło jest prawdziwe? Możecie tylko zgadywać”
    Okno logowania w przeglądarce jest zawsze podejrzane, zwłaszcza na stronie o bezpieczeństwie ! To nie tylko zgadywanie.

    P.S.
    Mój ulubimy przekręt w chrome – Fake SSL by CSS:
    https://jameshfisher.github.io/cursory-hack/

    Odpowiedz
  • avatar
    2017.10.12 11:30 Marcin

    A co z uwierzytelnianiem poprzez odcisk palca jeżeli takowe mam ustawione? Jak to się ma do tej formy potwierdzenia?

    Odpowiedz
    • avatar
      2017.10.17 09:41 x

      Nic, żadna aplikacja nie ma dostępu do odcisku palca. Dostaje tylko prosty callback z odpowiedzią czy test przeszedł czy nie.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga użytkownicy iOS, ten phishing jest prawie perfekcyjny

Komentarze