Als je iOS gebruikt, ben je gewend dat de Apple-pop-ups je vragen je Apple ID-wachtwoord in te voeren. Deze pop-ups zijn standaard wanneer je een nieuwe app downloadt via de App store, inlogt bij iCloud of een nummer koopt bij iTunes. Helaas lijkt het erop dat aanvallers mogelijk een vergelijkbare pop-upstrategie kunnen gebruiken om toegang te krijgen tot het Apple ID-account van een gebruiker.
Identieke vervalsing mogelijk
Tot nu toe is deze stijl van aanvallen niet in het eerder gezien. App-ontwikkelaar Felix Krause heeft onlangs een proof-of-concept op zijn website gedeeld om te bewijzen dat een app-ontwikkelaar pop-ups in een Apple-stijl kan gebruiken bij een phishing aanval. Krause’s blogpost toont screenshots van een officiële pop-up en een phishing-pop-up. In alle opzichten zien de twee pop-ups er identiek uit.
Krause gebruikte UIAlertController om het ontwerp van de interface voor wachtwoordverzoeken van Apple te vervalsen. Hij zegt dat hackers hetzelfde zouden kunnen doen om gebruikers te misleiden hun wachtwoorden op te geven. Hij beschreef het proces als ‘super eenvoudig’ en vereiste ‘geen magische of geheime code’.
Goede controle door Apple
Het goede nieuws is dat Apple waakzaam is over het screenen van apps en app-ontwikkelaars. Niet zomaar iemand kan een app in de App Store krijgen. Ontwikkelaars zonder de door Apple goedgekeurde status hebben hoogstwaarschijnlijk geen toegang tot voldoende iOS-gebruikers om veel schade aan te richten. Sommige gebruikers downloaden apps rechtstreeks van internet, niet via de App Store, ondanks Apple’s waarschuwingen van het tegendeel, maar ze zijn in de minderheid.
Het slechte nieuws is dat de phishingaanval die Krause heeft gedemonstreerd dat deze manier ongelooflijk effectief is als een kwaadaardige app het Apple-screeningsproces heeft doorstaan. iOS-gebruikers zijn geneigd om te vertrouwen op de officieel ogende pop-ups op hun iPhones of iPads. Omdat de pop-up met namaak identiek lijkt aan de echte, zou een aanvaller waarschijnlijk de meeste gebruikers voor de gek kunnen houden.
Krause heeft het hele verhaal met bewijzen naar Apple gestuurd en een paar suggesties gedaan om iOS veiliger te maken. Hij drong er met name bij Apple op aan iOS te tweaken, zodat gebruikers via Instellingen hun inloggegevens kunnen invoeren in plaats van via een pop-up.
Hoe kun je jezelf beschermen voor deze vorm van phishing?
In de tussentijd zegt Krause dat gebruikers zichzelf kunnen beschermen tegen mogelijke bedreigingen door op de startknop te drukken wanneer er een officieel ogende pop-up verschijnt. Echte wachtwoordverzoeken zullen niet verdwijnen, omdat ze systeem breed zijn. Nagemaakte verzoeken zullen wel verdwijnen, omdat ze alleen aan één schuldige toepassing zijn gekoppeld.
Geef een antwoord