Hack enthüllt, wie Kriminelle Ihre Apple-ID mit dubiosen Pop-ups stehlen konnten

Wenn Sie ein iPhone besitzen, sind Sie daran gewöhnt, dass Sie beim Einkaufen in iTunes, im App Store oder innerhalb von Apps ständig nach Ihrer Apple-ID gefragt werden. Ein kleines Pop-up erscheint, Sie rollen mit den Augen und geben pflichtbewusst Ihr Passwort ein.

Aber was ist, wenn dieses Popup nicht von Apple kommt, und doch stattdessen so gestaltet, dass es wie eine offizielle Anfrage aussieht, bei der Hacker versuchen, Ihre Zugangsdaten zu stehlen? Das ist der Fall, der vom App-Entwickler Felix Krause vorgebracht wird, der eine Proof-of-Concept-Aufschlüsselung bösartiger Lookalike-Popups geschrieben hat.

Wie Krause feststellt, können weniger als 30 Codezeilen verwendet werden, um einen sehr überzeugenden Phishing-Dialog zu erstellen. In Bildern nebeneinander vergleicht er die offizielle ID-Passwort-Anforderung von Apple mit seinen eigenen Bemühungen. Die Idee wäre, dass der Code mit einer App eingeschmuggelt wird, sodass der Benutzer tatsächlich die Benachrichtigung der App – nicht die Benutzeroberfläche von Apple – sieht. Wie seine Bilder zeigen, kann dies von einem Entwickler so gestaltet werden, dass es identisch mit einem Pop-up-Fenster zum Anmelden im iTunes Store aussieht.

Das Hauptproblem von Apples Seite ist, dass iOS es schwierig macht, den Unterschied zwischen Benachrichtigungsquellen zu erkennen. „iOS sollte sehr klar zwischen System-UI- und App-UI-Elementen unterscheiden, sodass es idealerweise […] für den durchschnittlichen Smartphone-Benutzer offensichtlich ist, dass etwas nicht stimmt“, sagt Krause.

Siehe verwandt Das Geschäft mit MalwareVorbereitung auf einen großen Cyberangriff, warnt das National Cyber Security CentreEquifax ist gezwungen, eine Webseite zu schließen, die fragwürdige Downloads und Malware anbietet

„Dies ist ein schwierig zu lösendes Problem, und Webbrowser gehen es immer noch an; Sie haben immer noch Websites, die Pop-ups wie macOS-/iOS-Pop-ups aussehen lassen, sodass viele Benutzer denken, [sie seien] Systemmeldungen.“

Krause fügt ein paar mögliche Lösungen für das Problem hinzu, wie z. B. den Benutzer zu zwingen, sein Passwort in der Einstellungs-App anstelle eines Pop-ups einzugeben. Wahrscheinlicher ist sein Vorschlag, dass Apple das Design seiner Systemaufforderungen ändert, um ein zusätzliches Symbol hinzuzufügen, das anzeigt, dass es sich um eine offizielle Anfrage handelt. Er zeigt auf das Ausrufezeichen, das in einigen Push-Benachrichtigungen unten verwendet wird. Hack enthüllt, wie Kriminelle Ihre Apple-ID mit dubiosen Pop-ups stehlen konnten

Im Moment stellt der Entwickler einige Schritte fest, die Benutzer unternehmen können, um mobiles Phishing zu verhindern. Am einfachsten ist es, die Home-Taste zu drücken. Wenn dadurch die App und der Dialog geschlossen werden, handelt es sich um einen Phishing-Angriff. Wenn der Dialog und die App noch sichtbar sind, handelt es sich um einen Systemdialog.

Es ist auch erwähnenswert, dass diese Art von Angriff davon abhängen würde, ob die bösartige App den Überprüfungsprozess im App Store übersteht und der Code dann vom Entwickler aktiviert wird. Apple ist bei solchen Dingen generell am Ball und würde Maßnahmen ergreifen, wenn ein solcher Verstoß gegen seine Richtlinien festgestellt würde. Krause merkt jedoch an, dass „Organisationen mit schlechten Absichten immer einen Weg finden werden, die Beschränkungen einer Plattform irgendwie zu umgehen“.