Demonstration eines Phishing-Angriffs auf iOS durch Anfordern einer E-Mail und eines Passworts

Jeder Benutzer iOS sah mindestens einmal ein Popup-Fenster, in dem er aufgefordert wurde, seinen Benutzernamen und / oder sein Passwort einzugeben, und er stammt normalerweise von Apple selbst.

iOS - Phishing-Angriff-POC

Ein Entwickler glaubte, dass ein Phishing-Angriff unter Verwendung eines solchen Fensters leicht durchgeführt werden könnte. Felix Krause hat ein Konzept erstellt, das beweist, dass Entwickler einen Angriff leicht als Popup von Apple tarnen können.

Wie Krause sagt, sind Benutzer daran gewöhnt, solche Fenster auch außerhalb von iTunes und App Store Apps zu sehen. Er verwendete den UIAlertController und erstellte das Design eines Standardkennworts oder einer Eingabeaufforderung für den Benutzernamen neu, die dann für Phishing verwendet werden kann.

'iOS fordert Benutzer aus vielen Gründen zur Eingabe eines Kennworts von iTunes auf. Die beliebtesten sind kürzlich aktualisierte Software und Anwendungen, die während der Installation hängen bleiben.

Infolgedessen geben Benutzer jedes Mal automatisch ihre Apple ID und ihr Passwort ein. Solche Fenster werden jedoch nicht nur auf dem Sperrbildschirm und dem Startbildschirm angezeigt, sondern auch in einigen Anwendungen, die Zugriff auf iCloud, GameCenter oder Einkäufe benötigen.

Jede Anwendung kann dies problemlos nutzen, da der UIAlertController ein Standarddialogfeld genau neu erstellen kann.

In den meisten Fällen benötigt ein Entwickler die E-Mail-Adresse des Benutzers, um sein Passwort zu erhalten, aber manchmal benötigt er nicht einmal eine.

Demonstration eines Phishing-Angriffs auf iOS durch Anfordern einer E-Mail und eines Passworts

Krause sagt, dass solche Dinge sorgfältiger behandelt werden müssen. Wenn Sie sich nicht sicher sind, schließen Sie einfach das Fenster, indem Sie die Home-Taste drücken. Wenn es nicht verschwindet, ist dies das offizielle Fenster Apple. Wenn es verschwindet, ist dies das Anwendungsfenster, und Sie sollten Ihre Daten nicht eingeben.

Diese Art von Angriff ist nicht neu und Apple prüft Anwendungen sorgfältig, bevor sie zu App Store hinzugefügt werden. Aber es tut nie weh, vorsichtig zu sein.

Krause informierte Apple über sein Konzept.

Rate article
Website über Smartphones, Anweisungen, Tipps, Bewertungen.
Add a comment