Hver bruger iOS så mindst en gang et pop op-vindue, der bad om at indtaste deres brugernavn og / eller adgangskode, og de kommer normalt fra Apple selv.
En udvikler mente, at et phishing-angreb let kunne udføres ved hjælp af et sådant vindue. Felix Krause oprettede et koncept for at bevise, at udviklere nemt kan skjule et angreb som en popup fra Apple.
Som Krause siger, er brugerne vant til at se sådanne vinduer selv uden for iTunes og App Store apps. Han brugte UIAlertController og genskabte designet af en standardadgangskode eller brugernavnprompt, som derefter kan bruges til phishing.
'iOS beder brugerne om deres iTunes-adgangskode af mange grunde, hvoraf de mest populære for nylig er opdateret software og applikationer, der sidder fast under installationen.
Som et resultat indtaster brugerne automatisk deres Apple ID og adgangskode hver gang. Men sådanne vinduer dukker ikke kun op på låseskærmen og startskærmen, men også i nogle applikationer, der har brug for adgang til iCloud, GameCenter eller køb.
Enhver applikation kan let drage fordel af dette, fordi UIAlertController nøjagtigt kan genskabe en standarddialogboks.
I de fleste tilfælde har en udvikler brug for brugerens e-mail-adresse for at få adgangskoden, men nogle gange behøver de ikke engang en.
Krause siger, at sådanne ting skal behandles mere omhyggeligt. Når du ikke er sikker, skal du bare lukke vinduet ved at trykke på knappen Hjem. Hvis det ikke forsvinder, er dette det officielle vindue Apple, og hvis det forsvinder, er dette applikationsvinduet, og du skal ikke indtaste dine data.
Denne type angreb er ikke ny, og Apple undersøger applikationer omhyggeligt, inden de føjes til App Store. Men det gør aldrig ondt at være forsigtig.
Krause kommunikerede Apple om sit koncept.