Om du äger en iPhone kommer du att vara van vid vad som verkar vara en konstant begäran om ditt Apple-ID när du köper i iTunes, på App Store eller i appar. Ett litet popup-fönster dyker upp, du himlar med ögonen och anger plikttroget ditt lösenord.
Men tänk om det popup-fönstret inte har kommit från Apple, och istället har designats för att se ut som en officiell begäran i ett försök från hackare att stjäla dina referenser? Det är fallet som lagts fram av apputvecklaren Felix Krause, som har skrivit en proof-of-concept uppdelning av skadliga lookalike-popup-fönster.
Som Krause noterar kan färre än 30 rader kod användas för att skapa en mycket övertygande nätfiskedialog. På bilder sida vid sida jämför han Apples officiella ID-lösenordsbegäran med sina egna ansträngningar. Tanken skulle vara att koden smugglas in med en app, så att det faktiskt är appens avisering – inte Apples användargränssnitt – som användaren ser. Som hans bilder visar kan detta designas av en utvecklare så att det ser identiskt ut som ett popup-fönster med ”Logga in på iTunes Store”.
Huvudfrågan, från Apples sida, är att iOS gör det svårt att se skillnad på aviseringskällor. ”iOS bör mycket tydligt skilja mellan system- och app-gränssnittselement, så att det idealiskt är […] uppenbart för den genomsnittlige smartphoneanvändaren att något verkar fel, säger Krause.
“Det här är ett knepigt problem att lösa, och webbläsaren hanterar det fortfarande; du har fortfarande webbplatser som får popup-fönster att se ut som macOS / iOS-popups, så att många användare tror [they are] Systemmeddelande[s].”
Krause lägger till några potentiella lösningar på problemet, som att tvinga användaren att ange sitt lösenord i inställningsappen istället för ett popup-fönster. Mer sannolikt att hända är hans förslag att Apple ändrar designen på sina systemuppmaningar för att inkludera en extra ikon som indikerar att det är en officiell begäran. Han pekar på utropstecken som används i vissa push-meddelanden nedan.
För närvarande noterar utvecklaren ett par steg som användare kan vidta för att förhindra mobilt nätfiske. Det enklaste är att trycka på din hemknapp. Om detta stänger appen och dialogrutan var det en nätfiskeattack. Om dialogrutan och appen fortfarande är synliga är det en systemdialog.
Det är också värt att notera att denna typ av attack beror på att den skadliga appen klarar sig App Store granskningsprocessen, och koden aktiveras sedan av utvecklaren. Apple är generellt sett på bollen med den här typen av saker och skulle vidta åtgärder om ett sådant brott mot dess riktlinjer upptäcks. Krause noterar dock att ”organisationer med dåliga avsikter kommer alltid att hitta ett sätt att på något sätt komma runt begränsningarna för en plattform”.