Démonstration d'une attaque de phishing sur iOS en demandant un e-mail et un mot de passe

Chaque utilisateur iOS a vu au moins une fois une fenêtre pop-up demandant d'entrer son nom d'utilisateur et / ou son mot de passe, et ils viennent généralement de Apple elle-même.

iOS - phishing-attack-POC

Un développeur pensait qu'une attaque de phishing pouvait être effectuée facilement en utilisant une telle fenêtre. Felix Krause a créé un concept prouvant que les développeurs peuvent facilement déguiser une attaque en popup depuis Apple.

Comme le dit Krause, les utilisateurs ont l'habitude de voir de telles fenêtres même en dehors des applications iTunes et App Store. Il a utilisé le UIAlertController et recréé la conception d'un mot de passe standard ou d'une invite de nom d'utilisateur, qui peut ensuite être utilisé pour le phishing.

'iOS invite les utilisateurs à entrer un mot de passe iTunes pour de nombreuses raisons, les plus courantes étant les logiciels récemment mis à jour et les applications bloquées lors de l'installation.

En conséquence, les utilisateurs saisissent automatiquement leur Apple ID et mot de passe à chaque fois. Mais ces fenêtres apparaissent non seulement sur l'écran de verrouillage et l'écran d'accueil, mais également dans certaines applications qui ont besoin d'accéder à iCloud, GameCenter ou des achats.

Toute application peut facilement en profiter, car UIAlertController peut recréer avec précision une boîte de dialogue standard.

Dans la plupart des cas, le développeur aura besoin de l'adresse e-mail de l'utilisateur pour obtenir son mot de passe, mais parfois il n'en a même pas besoin.

Démonstration d'une attaque de phishing sur iOS en demandant un e-mail et un mot de passe

Krause dit que de telles choses doivent être traitées plus attentivement. En cas de doute, fermez simplement la fenêtre en appuyant sur le bouton Accueil. Si elle ne disparaît pas, c'est la fenêtre officielle Apple, et si elle disparaît, c'est la fenêtre de l'application, et vous ne devez pas saisir vos données.

Ce type d'attaque n'est pas nouveau et Apple scrute les applications avant de les ajouter à App Store. Mais il n'y a jamais de mal à faire attention.

Krause a informé Apple de son concept.

Rate article
Site sur les smartphones, instructions, conseils, évaluations.
Add a comment