אם אתה הבעלים של אייפון, תתרגל למה שנראה כמו בקשה קבועה עבור מזהה Apple שלך בעת רכישות ב- iTunes, ב- App Store או בתוך אפליקציות. מופיע חלון קופץ קטן, אתה מגלגל עיניים ונכנס בצייתנות לסיסמה שלך.
אך מה אם הקופץ ההוא לא הגיע מאפל, ובמקום תוכנן להיראות כמו בקשה רשמית בניסיון של האקרים לגנוב את תעודותיך? זה המקרה שהעלה מפתח האפליקציות פליקס קראוזה, שכתב א התמוטטות הוכחה למושג של חלונות קופצים נראים זדוניים.
כפי שקראוז מציין, ניתן להשתמש בפחות מ -30 שורות קוד כדי ליצור דיאלוג דיוג משכנע מאוד. בתמונות זו לצד זו הוא משווה את בקשת הסיסמה הרשמית של אפל לזהות המאמצים שלו. הרעיון יהיה שהקוד מוברח עם אפליקציה, כך שלמעשה ההודעה של האפליקציה - לא ממשק המשתמש של אפל - היא שהמשתמש רואה. כפי שתמונותיו מראות, מפתח זה יכול להיות מתוכנן כך שייראה זהה לחלון הקופץ של כניסה לחנות iTunes.
הנושא העיקרי, מצד אפל, הוא ש- iOS מקשה על ההבדל בין מקורות התראות. iOS צריך להבחין בצורה ברורה מאוד בין ממשק המשתמש למערכת ורכיבי ממשק המשתמש של האפליקציה, כך שבאופן אידיאלי זה [...] ברור למשתמש הסמארטפון הממוצע שמשהו נראה לא פעיל, אומר קראוזה.
ראה קשרי עסק של תוכנות זדוניות היכונו להתקפות סייבר גדולות, מזהיר המרכז הלאומי לאבטחת סייבר Equifax נאלץ להוריד דף אינטרנט המגיש הורדות ותוכנות זדוניות מפוקפקות זו בעיה מסובכת לפתרון, ודפדפן האינטרנט עדיין מתמודד עם זה; עדיין יש לך אתרים שגורמים לחלונות קופצים להיראות כמו חלונות קופצים של MacOS / iOS, כך שמשתמשים רבים חושבים שהם הודעות מערכת.
Krause מוסיף כמה פתרונות פוטנציאליים לבעיה, כמו לאלץ את המשתמש להזין את הסיסמה שלו באפליקציית ההגדרות במקום קופץ. סביר יותר שיקרה הוא הצעתו שאפל תשנה את עיצוב מערכת ההנחיות שלה כדי לכלול אייקון נוסף המציין שזו בקשה רשמית. הוא מצביע על סימן הקריאה המשמש בכמה התראות Push, להלן.
אתה יכול להיכנס ל- snapchat בשני מכשירים
לעת עתה, היזם מציין כמה צעדים שמשתמשים יכולים לנקוט כדי למנוע דיוג בנייד. הכי קל זה ללחוץ על כפתור הבית שלך. אם זה סוגר את האפליקציה ואת הדיאלוג, זו הייתה התקפת פישינג. אם תיבת הדו-שיח והאפליקציה עדיין גלויים, מדובר בדיאלוג מערכת.
ראוי גם לציין כי התקפה מסוג זה תלויה באפליקציה הזדונית שתעבור אותהתהליך הבדיקה של App Store והקודם מופעל על ידי המפתח. אפל בדרך כלל נמצאת בכדור עם דברים מסוג זה, ותנקוט בפעולה אם תתגלה הפרה כזו של הנחיותיה. קראוזה מציין זאתארגונים עם כוונה רעה תמיד ימצאו דרך איכשהו לעקוף את המגבלות של פלטפורמה.