Sa website ng Felix Kraus, ang developer sa likod ng programa mabilis na daanan, isang napaka-kagiliw-giliw na piraso ng impormasyon ang lumitaw ngayon tungkol sa pinakabagong paraan ng pagsasagawa ng phishing attack na kasalukuyang posibleng gawin sa iOS platform. Tina-target ng pag-atakeng ito ang password ng user ng device at delikado pangunahin dahil mukhang totoo talaga ito. At sa isang lawak na maaaring mawala ng inaatakeng user ang kanyang password sa sarili niyang inisyatiba.
Felix sa kanyang sarili website kumakatawan sa isang bagong konsepto ng isang pag-atake sa phishing na maaaring makuha sa mga iOS device. Ito ay hindi pa nangyayari (bagaman ito ay posible sa loob ng ilang taon), ito ay isang pagpapakita lamang kung ano ang posible. Logically, hindi ipinapakita ng may-akda ang source code ng hack na ito sa kanyang website, ngunit malamang na may sumubok nito.
Karaniwan, ito ay isang pag-atake na gumagamit ng isang dialog box ng iOS upang makuha ang password ng Apple ID account ng user. Ang problema ay ang window na ito ay hindi nakikilala mula sa tunay na lumalabas kapag pinahintulutan mo ang mga aksyon sa iCloud o sa App Store.
Sanay na ang mga user sa pop-up na ito at awtomatiko itong pupunan kapag lumitaw ito. Ang problema ay lumitaw kapag ang nagmula sa window na ito ay hindi ang sistema tulad nito, ngunit isang malisyosong pag-atake. Makikita mo kung ano ang hitsura ng ganitong uri ng pag-atake sa mga larawan sa gallery. Ang website ni Felix ay eksaktong naglalarawan kung paano maaaring mangyari ang naturang pag-atake at kung paano ito maaaring pagsasamantalahan. Sapat na ang naka-install na application sa iOS device ay naglalaman ng isang partikular na script na nagpapasimula sa pakikipag-ugnayan ng user interface na ito.
Ang pagtatanggol laban sa ganitong uri ng pag-atake ay medyo madali, ngunit kakaunti ang mag-iisip na gamitin ito. Kung sakaling makakuha ka ng isang window na tulad nito, at pinaghihinalaan mo ang isang bagay ay hindi masyadong tama, pindutin lamang ang Home Button (o ang katumbas ng software nito...). Babagsak ang app sa background, at kung lehitimo ang dialog ng password, makikita mo pa rin ito sa iyong screen. Kung isa itong pag-atake sa phishing, mawawala ang window kapag isinara ang application. Makakahanap ka ng higit pang mga pamamaraan sa website ng may-akda, na inirerekomenda kong basahin. Malamang na ilang oras na lang bago kumalat ang mga katulad na pag-atake sa mga app sa App Store.
Pinagmulan: krusefx
Kaya ang gayong pag-atake sa isang lehitimong aplikasyon ay malamang na hindi makapasa sa kontrol ng Apple, tama ba?
Kaya muli, kung wala kang jailbreak, wala kang mahuhuli.
PS: Hindi ko pa nakikita ang "regular" na boses na ito bago. Gumagamit ako ng Touch ID kahit saan ;-).
Well, nakita ko na siya ngayon. At walang TID sa iPad mini. Kagabi lang ay nakatanggap ako ng email na may sumusubok na mag-sign in gamit ang aking Apple ID mula sa Chrome sa Windows. Syempre kinaumagahan nagpalit agad ako ng password. Sa umaga, nang ang aking iPad mini na walang SIM na walang SIM ay nakakuha ng wifi at sa internet, iniulat ito bilang nawala at naka-lock, at nakatanggap ako ng mensahe tungkol dito sa aking email. Ipinapalagay ko na ang pagbabago ng password ay nalutas ang lahat, ngunit ang lahat ay dapat talagang mag-ingat. Nagulat ako sa mensahe sa display ng iPad, tingnan ang larawan. Iyon ay tila hindi masyadong karaniwan sa akin, at ang email address ay nagsasabi ng lahat ng ito - ito ay isang scam at gusto nilang makuha ang aking mga detalye sa pag-log in.
… tingnan ang larawan. https://uploads.disquscdn.com/images/81787f49f7358d75acc8a8265cc5014288f07bed46bceeca1254da2086501947.png
At anong uri ng App iyon, kung maaari kong itanong?
Salamat sa iyo.
Wala akong alam sa anumang app, wala akong alam. Gumagamit ako ng iPad nang kaunti, halos halos isang layunin, at ang mga kagamitan ng mga application nito ay tumutugma sa iyon - ilang mga pangunahing bagay, wala nang iba pa, walang laman. Bukod sa paminsan-minsang pag-update (at kakaunti), wala talaga akong na-install doon, kaya ito ang huli sa aking mga device kung saan aasahan ko ang ganito.
At mayroon ka bang Jailbreak?
Oo, tanga ako. Kinuha nila ang iyong password at ibinigay ang "nawalang device" at nagsulat ng mensahe. Paumanhin. Ang tanong ay kung paano nila nakuha ang iyong password. Mayroon ka bang parehong password para sa maraming serbisyo? Ito ay na-leak sa Internet (maaaring matagpuan sa website https://haveibeenpwned.com saan mo inilalagay ang iyong email o username)?
Iniisip ko lang na wala sa isip ng mga boys noong iniwan nila sa iyo ang orihinal na password, bagama't ito ay mahusay para sa iyo, ngunit iyon ang tinatawag nilang pangkat.
Yeah, I guess it could have been. Syempre may record siya sa site na yun. Ngunit dapat mayroong bawat e-mail address na mas matanda sa 10 taon. :-)
Wala akong jailbreak at wala pa.
Mayroon ding mga mas bago :-) Ang kailangan mo lang gawin ay magkaroon ng LinkedIn at Dropbox sa maling oras at ito ay nangyayari na sa iyo :-)
Heh, kung nagsulat ako tungkol dito minsan pagkatapos lumipat sa 3GS, kapag iniisip ko ito, maaari akong "sikat" ... Naku, hindi pinaglalaruan ang kasaysayan :-D
Sa kabilang banda, kung ang window ay lilitaw sa akin at hindi ko alam na ako ay magsisimula ng isang pakikipag-ugnayan sa AppStore, kanselahin ko nang hindi pinupunan ang password...
Nangyari lang ito sa akin habang ina-activate ang iPhone ko. Sana sapat na ang pagbibigay ng laktaw. Pinuno ko lang ang password sa ilalim ng aking email.