Uwaga użytkownicy iOS, ten phishing jest prawie perfekcyjny
Na naszych prezentacjach często pokazujemy różne ataki na użytkowników, zatem ich widok nie jest nam obcy. Ten jednak zrobił na nas naprawdę duże wrażenie swoją prostotą i potencjalną skutecznością.
Każdy użytkownik iPhona przyzwyczajony pewnie jest do tego, że system potrafi go w różnych momentach zapytać o hasło do usługi iCloud (pozwalające w zasadzie na dostęp do wszystkiego, co użytkownik zdecydował się do chmury przesłać plus np. instalację aplikacji i aktualizacji systemowych). Okazuje się, że wyświetlenie podobnej, a nawet identycznej prośby na ekranie telefonu nie jest żadnym problemem. Spójrzcie tylko na poniższe zrzuty ekranu.
Które okno z pytaniem o hasło jest prawdziwe? Możecie tylko zgadywać, sam obrazek nie wystarczy by ocenić zagrożenie. My podpowiemy, że prawy jest prawdziwy, a poniżej znajdziecie instrukcję, jak samodzielnie sprawdzić to na swoim telefonie.
Tak banalne że aż nie chce się wierzyć
Felix Krause opisał ten dość prosty atak na swoim blogu. Nie opublikował kodu niezbędnego do wyświetlenia okna dialogowego, ale napisał, że przykłady łatwo znaleźć w każdej instrukcji dla programistów. Okno z pytaniem o hasło może wyświetlić każda aplikacja i będzie ono wyglądało tak samo, jak okno wyświetlane przez system operacyjny. Apple nie postarało się w żaden widoczny na pierwszy rzut oka sposób odróżnić pytania fałszywego od prawdziwego. Co więcej, pytanie prawdziwe pojawia się tak często, że zapewne nie raz już wpisywaliście swoje hasło bez weryfikowania, czy podajecie je systemowi operacyjnemu, czy hakerowi.
Jak rozpoznać fałszywkę i inne pytania
Na szczęście metoda rozpoznania okna prawdziwego jest dość prosta – wystarczy nacisnąć guzik Home. Jeśli okno wyświetlone było przez system operacyjny, pozostanie widoczne. Jeśli przez aplikację – zniknie z ekranu. Co ważne, nie powinniście wpisywać hasła do okna przed jego weryfikacją – nawet jeśli naciśniecie guzik „Anuluj”, złośliwa aplikacja może wpisane hasło odczytać.
Co z uwierzytelnieniem dwuskładnikowym? Oczywiście ta metoda go nie omija, jednak co jeśli potem pojawi się drugie okno z prośbą o podanie np. kodu 2FA? Nic nie stoi na przeszkodzie, by złośliwa aplikacja przekazała swojemu twórcy także ten kod.
Co z adresem email? Czasem pojawiają się w iOS także okna z pytaniem o hasło bez adresu email, zatem jeśli złośliwa aplikacja Waszego adresu nie zna, to może go po prostu ominąć.
Czy złośliwa aplikacja może trafić do sklepu Apple? Może, takie przypadki zdarzały się już w przeszłości.
Co dalej?
Użytkownikom iOS pozostaje włączyć 2FA (jeśli tego nie zrobili) i liczyć na to, ze Apple kiedyś oznaczy dialogi systemowe i aplikacyjne w różny sposób. Do tego momentu trzeba przy pytaniu o hasło naciskać guzik Home i sprawdzać efekt.
Podobne wpisy
- Uwaga na fałszywe bramki BLIK używane przez polskich złodziei
- Podstawy Bezpieczeństwa: Czy współczesne smartfony potrzebują antywirusa
- Jak nie tworzyć swoich haseł – instrukcja prosto z Urzędu Wojewódzkiego w Poznaniu
- Nie, nie piszę do was e-maili z adresu [email protected]
- Jak sprzedając na OLX można łatwo stracić środki ze swojej karty kredytowej
A skąd „fałszywa” aplikacja wyświetlająca ten dialog zna Apple ID? To jest ogólnie dostępne dla aplikacji?
Nie nie jest, ale nic nie stoi na przeszkodzie aby aplikacja przy „logowaniu” poprosiła o twój email, jest duża szansa że będzie taki sam jak ten w AppleID.
Po pierwsze, iOS wcale tak często nie pyta o hasło do iCloud, a już tym bardziej o hasło do iTunes Store – to drugie wyświetla się w ściśle określonych sytuacjach, jak zakup czy aktualizacja aplikacji.
Po drugie, co ma zmienić że Apple zmieni wygląd systemowych dialogów, w jaki sposób ma to uniemożliwić ich podrabianie, przecież wygląd dialogu można sobie skomponować dowolnie. Jakimś rozwiązaniem byłoby ich powiązanie np. z systemowym status barem, albo innym miejscem systemy, gdzie normalnie aplikacje nie mogą wyświetlać własnych treści.
Apple może zmienić sposób logowania do iCloud. Zamiast okienka w aplikacji możesz być przenoszony do ustawień, czyli do obszaru, który na pewno kontroluje Apple
I serio nie widzicie różnicy w stopniu nachylenia „?
Tu już ciężej
https://twitter.com/KrauseFx/status/917736810725494786/photo/1
Oraz innego koloru obramowania w polu 'Password’ ? ;)
Czy opisany w artykule środek zaradczy dotyczy również innych monitów o hasło? Zrobiłam test: weszłam do AppStore, kliknęłam, aby ściągnąć dowolną apkę – wtedy pojawił się monit o hasło do AppStore, ponieważ tak mam ustawione – następnie zgodnie z instrukcją nacisnęłam Home. Wtedy monit o hasło zniknął, został tylko interfejs AppStore. Zgodnie z wyjaśnieniem miałoby to oznaczać, że był to atak phishingowy, ale przecież ja wiem, że nie był. Jak to rozumieć? iOS 11.0.2.
„Które okno z pytaniem o hasło jest prawdziwe? Możecie tylko zgadywać”
Okno logowania w przeglądarce jest zawsze podejrzane, zwłaszcza na stronie o bezpieczeństwie ! To nie tylko zgadywanie.
P.S.
Mój ulubimy przekręt w chrome – Fake SSL by CSS:
https://jameshfisher.github.io/cursory-hack/
A co z uwierzytelnianiem poprzez odcisk palca jeżeli takowe mam ustawione? Jak to się ma do tej formy potwierdzenia?
Nic, żadna aplikacja nie ma dostępu do odcisku palca. Dostaje tylko prosty callback z odpowiedzią czy test przeszedł czy nie.