Po. Marshall Honorof

Samo primanjem e-pošte, korisnici iOS-a - čak i vrlo pametni - mogli bi postati žrtvom uvjerljivog, ali lažnog zaslona za prijavu.

Kao i uvijek, budite sretni što su sigurnosni istraživači bolji u pronalaženju mana nego cyber kriminalci. Nova eksploatacija dokaza s koncepta pokazuje izuzetno pametnu i potencijalno razornu phishing prijevaru na iPhoneima i iPadima. Samo primanjem e-pošte, korisnici iOS-a - čak i vrlo pametni - mogli bi postati žrtvom uvjerljivog, ali lažnog zaslona za prijavu koji bi im ukrao korisničko ime i lozinku za Apple račune.

Britanski tehnološki blog Registar razgovarao s Janom Součekom, savjetnikom za sigurnost tvrtke Ernst and Young sa sjedištem u Pragu, koji je to objasnio zavarao je aplikaciju Mail ugrađenu u iOS 8 pomoću alata vlastite kreacije pod nazivom iOS-Mail.app-inject-kit. Součekov alat omotava poruke e-pošte u 20 redaka varljivog web formatiranja koje, kada se gledaju na iOS uređaju, otvaraju lažni zaslon za prijavu Apple ID-a koji izgleda savršeno stvarno.
VIŠE: Najbolja zaštita od krađe identiteta

Souček je iskorijenio ranjivost i rekao Appleu o tome još u siječnju, ali rekao je da Apple nije htio zakrpati problem. Stoga je odlučio javno objaviti taj nedostatak. Za razliku od mnogih phishing skočnih prozora koji zahtijevaju JavaScript, Souček je stvorio alat za phishing Mail.app koristeći samo HTML i njegov jezik formatiranja CSS, koji iOS prema zadanim postavkama čita i raščlanjuje.

Ono što trik Mail.app doista čini opasnim jest što replicira predvidljivo iOS ponašanje. iOS 8 zaista traži od korisnika da se prijave kako bi povremeno potvrđivali svoju identifikaciju, posebno kada koriste ugrađenu aplikaciju Mail. Korisnici bi mogli izbrisati svaku sumnjivu e-poštu koja im se nađe na putu, ali na kraju bi predali svoj Apple račun vjerodajnice - i njihova stanja na iTunes Storeu, iCloud računi i sigurnosne kopije fotografija iPhonea - varalicama bez ikada znajući to.

Postoji jedan jednostavan način da otkrijete Součekov alat za krađu identiteta: pritisnite gumb Odustani kada se pojavi upit za prijavu. Kod stvarnih iOS obavijesti, pritiskom na Odustani upit će se ponovno pojaviti dok se ne prijavite. S HTML / CSS izmjenama, čak i vrlo pametnim, pritiskom na Odustani upit će nestati. Ako Mail zatraži da se prijavite, pritiskom tipke Odustani jednom ne možete naštetiti i košta vas samo oko sekunde.

Oni koji padnu na takve trikove bit će zaštićeni od preuzimanja Apple računa ako su to omogućili dvofaktorska autentifikacija. Kad je ta značajka uključena, Apple će poslati numerički kôd putem tekstualne poruke ili poruke Pronađi moj iPhone / iPad na adresu drugi uređaj koji pripada registriranom korisniku, a korisnik mora unijeti kôd u prvi uređaj za prijavu.

Imajte na umu da Mail.app phish nikad nije viđen u divljini, a sad kad ga je Souček objavio, Apple će ga vjerojatno uskoro zakrpati. Dobar je podsjetnik da je, iako je 99 posto phishing prijevara transparentno i lako ih je uočiti, uvijek postoji onaj neobičan koji bi čak i tehnološki pametne korisnike mogao baciti u petlju.

  • Podrška za mobitele Showdown 2015: Tko pobjeđuje, a tko gubi?
  • Vodič za mobilnu sigurnost: Sve što trebate znati
  • Najbolji antivirusni softver i aplikacije

Marshall Honorof stariji je pisac za Tom's Guide. Obratite mu se na [email protected]. Prati ga @marshallhonorof. Prati nas @tomsguide, na Facebook i dalje Google+.

Dobijte trenutni pristup najnovijim vijestima, najzanimljivijim recenzijama, sjajnim ponudama i korisnim savjetima.

Zahvaljujemo što ste se prijavili za Tomov vodič. Uskoro ćete primiti e-poruku za potvrdu.

Došlo je do problema. Osvježite stranicu i pokušajte ponovo.

Bez neželjene pošte, obećavamo. U bilo kojem trenutku možete otkazati pretplatu i nikada nećemo dijeliti vaše podatke bez vašeg dopuštenja.