App-udvikler: Tvivlsomme pop-ups i iOS kan narre passwords fra selv den bedste

Foto: Screendumps: Felix Krause
Det er umuligt at skelne de troværdige pop-up-vinduer fra de kompromitterende.

Apple-enheder har det med jævnligt at bede dig om at indtaste dine Apple-loginoplysninger. Men hvilken app er det egentlig, der beder dig indtaste dine oplysninger? Og er det sikkert?

Det ved man faktisk ikke altid, skriver ArsTechnica.

Med kun 30 linjer kode lykkes det appudvikleren Felix Krause at lave kopromitterende pop-up-meddelelser, der ligner Apple Stores til forveksling.

Det er umuligt at vide, om de indtastede oplysninger havner hos Apple eller en mistænkelig tredjepart.

Selvom der kun er tale om simpel phishing, påpeger Felix Krause, at Apple-brugere er vant til at se disse pop-ups. Og til at indtaste deres oplysninger i dem - hvorfor svagheden er ekstra grel.

For alt afhængig af brugerens egne indstillinger kommer de legitime pop-ups, når der skal installeres nye programmer, købes ind i Apple Store og så videre. Apple får deres brugere til at stole på det ikoniske pop-up-design.

Integreres i legitime apps

De korte phishing-kodestumper kan integreres i en ellers legitim app, der allerede er godkendt til Apple Store.

Problemet ligger ifølge Felix Krause hovedsagelig i, at det er umuligt at skelne mellem pop-ups fra Apple og pop-ups fra diverse apps. Apples design er simpelthen for strømlinet.

»Det er et svært problem at løse, og diverse browsere bakser stadig med det,« skriver Felix Krause på sin blog. Han fortæller også, hvordan nogle websider ligeledes forsøger at efterligne Apples pop-ups.

Vil man oppe sin sikkerhed, kan man slå to-faktor-autentifikation til, men det løser som sådan ikke ovenstående problem, idet også det kan bruges til phishing.

En læser på ArsTechnica lister til gengæld en række løsningsforslag, der reelt set kan komme problemet til livs.

Et af forslagene går på, at man har et ord, som kun brugeren og Apple kender til. Pop-up-boksene er kun troværdige, når de indeholder dette ord. Helt sikkert er det ikke, men det ville gøre snyd betydeligt mere besværligt.

Dansk udvikler: Bestemt muligt

Solutions architect og partner i app-virksomheden iDeal Development Esben Bjerregaard arbejder med blandt andet udvikling til iOS. Han vurderer, at angrebsteknikken sagtens kan lade sig gøre, men at det ikke nødvendigvis kan betale sig.

»Det er bestemt muligt - og nemt - at bygge noget, der UI-mæssigt ligner en In-App-Purchase-prompt, og derefter franarre brugeren login,« skriver Esben Bjerregaard i en mail til Version2.

Han peger dog på flere udfordringer. Blandt andet at Apple håndtester apps, inden de godkendes. Derfor skal phishing-UI'en gemmes under testen.

»Det kan styres med et simpelt REST-kald, appen laver, som afgør om UI'en kommer frem eller ej. Eller endnu simplere: en timer.«

Og så skal brugen lokkes til at ville betale i konteksten, påpeger Esben Bjerregaard.

»iOS-brugere er vant til at skulle indtaste deres oplysninger, når de foretager et In-App-Purchase. Bliver brugeren bedt om indtaste oplysninger uden at ville købe noget, tror jeg, de fleste ville springe over af frygt for at skulle betale for noget indhold (men nok ikke alle).«

Derudover nævner Esben Bjerregaard det også som en udfordring for angrebsteknikken, at Apple afviser apps, der ikke har noget formål. Det vil sige, at phishing-forsøget skal bygges ind i en app, der faktisk ser ud til at have et legitimt formål.

»Inden man kan lave et phishing-angreb, er man derfor nødt til at bygge en app, der giver så meget mening for slutbrugeren, at Apple vil godkende den. Samtidig skal appen være så god, at man kan få brugerne til at hente den. Apps er jo, i modsætning til f.eks. en hjemmeside, en lidt besværlig ting at få fat i (åbn app store, find app, download app, åbn app). Der skal med andre ord bygges en hæderlig app, inden angrebet kan laves.«

Endelig vurderer Esben Bjerregaard, at Apple ret hurtigt vil gennemskue et angreb via phishing-metoden, hvorefter app'en vil blive fjernet.

»I det tidsrum skal man have lokket rigtig mange brugere til at hente og indtaste deres oplysninger,« skriver han og filføjer:

»By the end of the day er det altså muligt (og simpelt) at bygge en app, der kan franarre brugerne login-oplysninger. Grunden til, at man ikke ser det mere, er nok, at det simpelthen ikke er indsatsen værd. Arbejdet i forhold til gevinsten er ikke i balance, og der findes langt nemmere måder at opnå samme resultat på (f.eks. diverse injections og exploits på web).«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
Hans Schou

I de gode gamle dage før Windows 10, skulle man taste Ctrl-Alt-Del for at kunne logge ind på Windows. Det blev så ændret til, at hvis skærmen er låst, så kan man blot taste Enter og blive spurgt om password. Det åbner så for at nogen kan installere et program der viser det samme billede som logon, men i stedet for at logge brugeren ind, gemmes/sendes password afsted til nogen, og så vises fejllogin.

Da man ved intro af Windows NT netop valgte Alt-Ctrl-Del, var det for at sikre at man netop ikke kunne lave ovenstående trick.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017