iPhone Srbija Servis, Beograd Kosovska 28
Results 1 to 1 of 1

Thread: Ne nasedajte na phishing pop-up koji trazi vasu sifru za Apple ID

  1. #1
    Administrator zabrljanje's Avatar
    Join Date
    Jul 2011
    Location
    Beograd
    Posts
    20,586
    Thanks
    1,024
    Thanked 9,596 Times in 6,435 Posts

    Default Ne nasedajte na phishing pop-up koji trazi vasu sifru za Apple ID

    Apple je uspesno napravio propust koji omogiucava bilo kom develoepru da ubaci, kroz svoju aplikaciju, pop-up prozor koji trazi da ukucate vasu sifru za Apple ID i taj prozor izgleda identicno kao i onaj sistemski koji se pojavljuje kad taj zahtev dolazi od Apple-a


    Malo je reci da su ispali neozbiljni posto se te stvari ne proveravaju kroz pregled aplikacije kad se ona kandiduje da izadje na App Store-u.







    iOS vam trazi password za Apple ID iz mnogih razloga. To moze da bude kad sveze instalirate sistem, kad zaglave aplikacije tokom instalacije.
    Ovaj pop-up se pojavluje i na lock screen-u i home screen-u vec i unutar aplikacija (kad hocete da pristupite vasem iColud nalogu, GameCenter-u ili za In-App-Purchases.
    Ovo moze da iskoristi bilokoja aplikacija prikazujuci UIAlertController koji izgleda isto kao i sistemski.

    Sta je ono sto mozete da uradite i vidite da li je phishing ili legitiman zahtev:


    1. Pritisnite Home dugme (kljucni potez)

    - ako se skloni, zatvori, pop-up prozor i aplikacija, onda znate da je phishing

    - ako pop-up prozor ostane i nakon sto pritisnete Home dugme, onda je sistemski, legitiman (zato sto on funkcionise drugacije i nije vezan za aplikaciju)


    2. Nemojte da upisujete sifru u taj prozor vec idite na dismiss i otvorite Settings i tu ukucajte sifru. Ovaj koncept nece uvek da radi.


    3. Zapamtite da i ako ukucate sifru i kliknete ipak na cancel, aplikacija i dalje ima pristup sifri i verovatno je vec prosledjena.



    Neki od pop-up prozora vec upisuju vasu mail adresu i to za lopove pravi lep komplet kad ukcuate vasu sifru.




    Autor koji je ovo primetio, vec je prijavio ovaj bug

    https://openradar.appspot.com/radar?id=4952345645416448


    Ovo je jako lako da se uradi i zahteva 30 linija koda u okviru neke aplikacije koja je prosla App Store review tim. Cak se nalazi u okviru Apple dokumenata.

    Showing a dialog that looks just like a system popup is super easy, there is no magic or secret code involved, it’s literally the examples provided in the Apple docs, with a custom text

    I decided not to open source the actual popup code, however, note that it’s less than 30 lines of code and every iOS engineer will be able to quickly build their own phishing code.



    Nekad iOS prikazuje notifikaciju na Lock screen-u da unesete vasu sifru u okviru Settings-a i to je najbolje resenje za ovakve zahteve.




    Ono sto je dobro da imate ukljuceno je Two-factor authenthication ali ni to nije garancija posto aplikacija moze da zatrazi kod a mnogi, informaticki nedovoljno upuceni, korisnici zatraziti da ima Apple token sa kodom.



    Sve o Two-factor authenthication, mozete da procitate u temi

    Two-factor authentication sve funkcije i podesavanja




    Tekst autora je na ovoj adresi

    https://krausefx.com/blog/ios-privac...just-by-asking


    Brandon Butch je napravio video koji na slikovit nacin objasnjava sta mozete da uradite i objasnjava kako ovo radi.







    Moram jos jednom da naglasim da je kljucni element pritiskanje Home dugmeta kad se pojavi takav prozor koji trazi da ukucate vasu sifru. Ako nestane prozor i aplikacije, znate da je lazan i da odmah obrisete aplikaciju i ne unosite vasu sifru.

  2. The Following 11 Users Say Thank You to zabrljanje For This Useful Post:

    Cuksi (14-10-2017),Igor88bg (13-10-2017),bobanbg9 (14-10-2017),djoni1980 (14-10-2017),kylle (13-10-2017),niki93t (14-10-2017),password (14-10-2017),raykard (13-10-2017),slavke1976 (13-10-2017),tiha (13-10-2017),zikicz (13-10-2017)

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •