Dina situs wéb Felix Kraus, pamekar tukangeun program éta jalur gancang, sapotong pisan metot inpormasi geus mecenghul kiwari ngeunaan métode panganyarna tina ngalakonan serangan phishing nu ayeuna mungkin pikeun ngalakukeun dina platform ios. Serangan ieu nargétkeun kecap akses pangguna alat sareng bahaya utamina sabab katingalina nyata. Jeung extent misalna yén pamaké diserang bisa leungit sandi na on inisiatif sorangan.
Felix sorangan ramatloka ngagambarkeun konsép anyar tina serangan phishing nu bisa meunang kana alat ios. Ieu henteu acan kajantenan (sanaos tiasa sababaraha taun), éta ngan ukur demonstrasi naon anu mungkin. Logis, panulis henteu ningalikeun kode sumber hack ieu dina halaman wébna, tapi sigana moal aya anu bakal nyobian éta.
Dasarna, éta serangan anu ngagunakeun kotak dialog ios pikeun kéngingkeun sandi akun Apple ID pangguna. Masalahna nyaéta yén jandela ieu teu tiasa dibédakeun tina anu nyata anu muncul nalika anjeun otorisasi tindakan dina iCloud atanapi App Store.
Pamaké biasa kana pop-up ieu sareng dasarna ngeusian sacara otomatis nalika nembongan. Masalahna timbul nalika panyipta jandela ieu sanés sistem sapertos kitu, tapi serangan jahat. Anjeun tiasa ningali kumaha jinis serangan ieu dina gambar dina galeri. Situs wéb Felix ngajelaskeun persis kumaha serangan sapertos kitu tiasa kajantenan sareng kumaha éta tiasa dieksploitasi. Ieu cukup yén aplikasi dipasang dina alat ios ngandung hiji Aksara husus nu initializes interaksi panganteur pamaké ieu.
Pertahanan ngalawan jenis serangan ieu kawilang gampang, tapi saeutik bakal mikir ngagunakeun eta. Upami anjeun kantos nampi jandela sapertos kieu, sareng anjeun curiga aya anu teu leres, pencét tombol Home (atanapi sarimbag parangkat lunakna…). Aplikasi bakal nabrak kana latar tukang, sareng upami dialog sandi sah, anjeun masih bakal ningali dina layar anjeun. Upami éta serangan phishing, jandela bakal ngaleungit nalika aplikasi ditutup. Anjeun tiasa mendakan langkung seueur metode di ramatloka pangarang urang, anu kuring nyarankeun maca. Éta sigana ngan ukur sababaraha waktos sateuacan serangan anu sami sumebar ka aplikasi dina App Store.
Sumber: krausefx
Janten serangan sapertos kitu dina aplikasi anu sah sigana moal lulus kontrol Apple, leres?
Kitu deui, upami anjeun teu gaduh jailbreak, anjeun teu gaduh tempat pikeun nyekelana.
PS: Abdi henteu kantos ningali sora "biasa" ieu sateuacanna. Abdi nganggo Touch ID dimana-mana ;-).
Nya, kuring parantos ningali anjeunna ayeuna. Sareng teu aya TID dina iPad mini. Ngan tadi peuting kuring meunang surelek yen batur nyoba asup jeung ID Apple kuring ti Chrome dina Windows. Tangtosna, enjing-enjing kuring langsung ngarobih sandi. Isuk-isuk, nalika kuring iPad mini bébas SIM ngagaduhan on wifi jeung internét, dilaporkeun leungit tur dikonci, sarta kuring meunang pesen ngeunaan eta dina email abdi. Kuring nganggap yén ngarobah sandi direngsekeun sagalana, tapi dulur kudu bener ati. Kuring paling kaget ku pesen dina tampilan iPad, tingali gambar. Éta henteu sigana standar pikeun kuring, sareng alamat emailna nyarios sadayana - éta scam sareng aranjeunna hoyong kéngingkeun detil login kuring.
… tingali gambar. https://uploads.disquscdn.com/images/81787f49f7358d75acc8a8265cc5014288f07bed46bceeca1254da2086501947.png
Sareng jenis App éta, upami kuring tiasa naroskeun?
Hatur nuhun.
Abdi henteu terang ngeunaan aplikasi naon waé, kuring henteu terang nanaon. Kuring make iPad saeutik, praktis ampir single-Tujuan, sarta alat-alat na aplikasi pakait jeung éta - sababaraha hal dasar, euweuh nu sejenna, kosong. Sajaba ti update occasional (jeung aya sababaraha), Kuring teu bener install nanaon di dinya, jadi ieu téh panungtungan alat kuring dimana kuring bakal nyangka hal kawas ieu.
Sareng anjeun gaduh Jailbreak?
Hehehehe pasti, kuring bodo. Aranjeunna nyandak kecap akses anjeun sareng masihan "alat anu leungit" sareng nyerat pesen. Hampura. Patarosan na kumaha aranjeunna ngagaduhan sandi anjeun. Naha anjeun gaduh kecap konci anu sami pikeun sababaraha jasa? Éta bocor dina Internét (tiasa dipendakan dina situs wéb https://haveibeenpwned.com dimana anjeun ngasupkeun email atawa ngaran pamaké anjeun)?
Kuring ngan mikir yén budak teu boga eta dina pikiran nalika aranjeunna ninggalkeun anjeun sandi aslina, sanajan éta gede pikeun anjeun, tapi éta naon maranéhna nelepon clique a.
Hehehehe, kuring nyangka éta bisa jadi. Tangtosna anjeunna gaduh catetan dina situs éta. Tapi kedah aya unggal alamat e-mail langkung lami ti 10 taun. :-)
Abdi henteu gaduh jailbreak sareng henteu kantos.
Aya ogé anu langkung énggal :-) Sadaya anu anjeun kedah laksanakeun nyaéta gaduh LinkedIn sareng Dropbox dina waktos anu salah sareng éta parantos kajantenan sareng anjeun :-)
Heh, mun kuring kungsi nulis ngeunaan ieu teh saenggeus ngalih ka 3GS, mun dipikir-pikir mah bisa jadi "kawentar"... Nah, sejarah mah teu muter-muter :-D
Di sisi séjén, lamun jandela Pops nepi ka kuring jeung Kami teu sadar yen kuring bakal initiate interaksi jeung AppStore, Kuring méré ngabolaykeun tanpa ngeusian kecap akses...
Ieu ngan kajadian ka kuring bari ngaktipkeun iPhone kuring. Kuring miharep éta cukup pikeun masihan skip a. Kuring ukur ngeusian sandi dina email abdi.