image

"IPhone-gebruiker moet Apple ID-wachtwoord niet in pop-up invoeren"

donderdag 12 oktober 2017, 10:12 door Redactie, 10 reacties

Eigenaren van een iPhone moeten hun Apple ID-wachtwoord niet in een pop-up invoeren, omdat kwaadaardige apps dergelijke pop-ups ook kunnen tonen. Daarvoor waarschuwt Felix Krause, de ontwikkelaar van Fastlane. Krause ontwikkelde een proof-of-concept waarbij een app een pop-up laat zien die niet te onderscheiden is van de pop-ups waarin Apple om het Apple ID-wachtwoord vraagt.

Krause heeft besloten om de broncode van de pop-up niet openbaar te maken, maar stelt dat het kinderlijk eenvoudig is om het systeemvenster van Apple na te bootsen. Daar komt bij dat gebruikers volgens Krause getraind zijn om hun Apple ID-wachtwoord in te voeren, aangezien de legitieme pop-ups geregeld verschijnen. Iets waar kwaadaardige apps met hun eigen pop-ups weer misbruik van kunnen maken. "Zelfs voor gebruikers die veel van technologie weten is het lastig om te zien dat deze pop-ups phishingaanvallen zijn", aldus Krause.

Hij adviseert gebruikers die zich willen beschermen om inloggegevens niet in een pop-up in te voeren. In het geval een pop-up verschijnt moet die worden genegeerd en moet de gebruiker zelf de instellingen-app openen. "Dit is vergelijkbaar met het concept dat je geen links in e-mails moet aanklikken, maar de website zelf handmatig moet openen." Om te bepalen of een pop-up een phishingaanval is kan er op de home-knop worden gedrukt. Als de onderliggende app en de pop-up verdwijnen was het een phishingaanval. In het geval de app en de pop-up nog wel zichtbaar zijn gaat het om een legitem systeemvenster.

Image

Reacties (10)
12-10-2017, 10:40 door Anoniem
Lang leve 2 factor authentication.
12-10-2017, 12:44 door Anoniem
Krause heeft besloten om de broncode van de pop-up niet openbaar te maken....

Het is openbaar en anders even de dev guide erbij pakken hoe je de popup aanroept.
12-10-2017, 13:34 door Whacko
Daar is Felix Krause weer met een onzinnig "nieuwsbericht" dat een open deur intrapt.

Net als een paar weken geleden:
https://www.security.nl/posting/533139/IOS-apps+kunnen+locatiegegevens+via+foto-metadata+achterhalen

Kunnen we deze "onderzoeker" misschien even weren?
12-10-2017, 15:42 door Anoniem
Wat moeten we dan wel doen?
12-10-2017, 20:45 door Anoniem
Natuurlijk is zo'n popup makkelijk na te maken, en op andere systemen zijn dergelijke popups ongetwijfeld ook makkelijk na te maken. In die zin heeft het een hoog duh-gehalte.

Maar Krause maakt ook het punt dat in iOS die dialoog zo vaak getoond wordt dat gebruikers getraind raken hun wachtwoord in te typen als erom gevraagd wordt. Ik gebruik het zelf niet, en ik kan niet beoordelen of hij daarin gelijk heeft. Maar als het inderdaad zo is dat zo'n popup te pas en te onpas kan verschijnen dan is dat een risico.

En sowieso zou het geen kwaad kunnen als een wachtwoordprompt a) ALTIJD duidelijk aangeeft wie of wat het wachtwoord vraagt en b) dat op een manier doet die NIET voor gewone invoer beschikbaar is, zodat een malafide app het niet kan nabootsen zonder dat duidelijk is dat het die app is die om een wachtwoord vraagt. Dat betekent meteen dat er restricties worden opgelegd aan de vormgeving die ontwerpers van apps kunnen kiezen, en ik vermoed dat dat iets is wat als een onwenselijke beperking wordt gezien (waarbij men niet primair aan security denkt) en dus niet gedaan wordt.
12-10-2017, 21:00 door Anoniem
Smartphone gebruikers moet onmiddelijk stoppen met hun smartphone gebruik, apps kunnen kwaadaardige dingen doen.

Aldus de zelfbenoemde forensisch onderzoeker Janssen van bureau Janssen en Jansen.

Volgende week: Computer gebruikers moeten oppassen met hun toetsenbord, dit randapparaat registreert namelijk alle toetsaanslagen.
13-10-2017, 01:03 door Anoniem
Door Anoniem: Krause heeft besloten om de broncode van de pop-up niet openbaar te maken....

Het is openbaar en anders even de dev guide erbij pakken hoe je de popup aanroept.

Ja precies wat ik ook dacht! :-)
13-10-2017, 01:10 door [Account Verwijderd] - Bijgewerkt: 13-10-2017, 01:11
Ik vind dit wel een nieuwswaardig bericht... hetzelfde schoot ook bij mij naar binnen paar jaar geleden toen ik nog zo dom was om iOS te gebruiken.

Ok, ok, ok... ik gebruik ios nog steeds.

Ik bedoel ik heb een oude ipad1 die als SSH shell dient voor een aantal machines van mij. Verder niks... ja VPN/WIFI/BLUE altijd aan, mijn beveiliging camera's kan ik er op bekijken maar dat doe ik zelden.

Kan er niet of bijna niet veilig op surfen. Youtube gaat prima in ios5.1.1. En emailen lijkt me ook niet verstandig... het is dus een kale, schone, niet gejailbreakte, ios5 ipad annex dom-scherm...

En sja kan zo een pop-up als deze tonen. Goede tip van die home toets!
13-10-2017, 18:55 door Anoniem
Door Whacko: Daar is Felix Krause weer met een onzinnig "nieuwsbericht" dat een open deur intrapt.

Net als een paar weken geleden:
https://www.security.nl/posting/533139/IOS-apps+kunnen+locatiegegevens+via+foto-metadata+achterhalen

Kunnen we deze "onderzoeker" misschien even weren?

Oh, ik had niet eens in de gaten dat dit de zelfde gast was.

@redactie
Laat dit soort onzinnige berichtgeving maar over aan webwereld of zo als je dit forum nog een beetje serieus neemt.
13-10-2017, 19:42 door Anoniem
Denk dat de aanslingeraar van het nieuws wel een punt heeft.

Het klotige is met pop ups dat gebruikers zich niet realiseren dat software of apps in dit geval zelf ook pop up windows kunnen genereren.
Je met je dus inderdaad (altijd al, groot oppasvoorbeeld bestond al voor browsers) je afvragen waar die pop up vandaan komt.

Dat betekent even stoppen met alles, klikvinger in het ijs, onder water en op slot.
Stilstaan dus.

- beoordeel de pop up, lezen, wat vraagt ze
- welk programma heb je open staan en past deze vraag bij dit programma?

- heb je meerdere apps of software open staan en ben je er niet zeker van of het wel een melding is van het systeem, sluit dan inderdaad die apps eerst maar eens af.
Dat gold altijd al voor de computer en dus ook voor de mobile.

Maar ik denk dat de meeste mensen niet weet hoe ze echt alle apps even kunnen afsluiten.
En het vervelende is dat Apple geloof ik sinds kort de handige en eenvoudige force quit optie van apps heeft weggemoffeld of zelfs helemaal heeft weggehaald.

Jammer want dat is een heel werkbare methode.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.