"IPhone-gebruiker moet Apple ID-wachtwoord niet in pop-up invoeren"
Eigenaren van een iPhone moeten hun Apple ID-wachtwoord niet in een pop-up invoeren, omdat kwaadaardige apps dergelijke pop-ups ook kunnen tonen. Daarvoor waarschuwt Felix Krause, de ontwikkelaar van Fastlane. Krause ontwikkelde een proof-of-concept waarbij een app een pop-up laat zien die niet te onderscheiden is van de pop-ups waarin Apple om het Apple ID-wachtwoord vraagt.
Krause heeft besloten om de broncode van de pop-up niet openbaar te maken, maar stelt dat het kinderlijk eenvoudig is om het systeemvenster van Apple na te bootsen. Daar komt bij dat gebruikers volgens Krause getraind zijn om hun Apple ID-wachtwoord in te voeren, aangezien de legitieme pop-ups geregeld verschijnen. Iets waar kwaadaardige apps met hun eigen pop-ups weer misbruik van kunnen maken. "Zelfs voor gebruikers die veel van technologie weten is het lastig om te zien dat deze pop-ups phishingaanvallen zijn", aldus Krause.
Hij adviseert gebruikers die zich willen beschermen om inloggegevens niet in een pop-up in te voeren. In het geval een pop-up verschijnt moet die worden genegeerd en moet de gebruiker zelf de instellingen-app openen. "Dit is vergelijkbaar met het concept dat je geen links in e-mails moet aanklikken, maar de website zelf handmatig moet openen." Om te bepalen of een pop-up een phishingaanval is kan er op de home-knop worden gedrukt. Als de onderliggende app en de pop-up verdwijnen was het een phishingaanval. In het geval de app en de pop-up nog wel zichtbaar zijn gaat het om een legitem systeemvenster.
Het is openbaar en anders even de dev guide erbij pakken hoe je de popup aanroept.
Net als een paar weken geleden:
https://www.security.nl/posting/533139/IOS-apps+kunnen+locatiegegevens+via+foto-metadata+achterhalen
Kunnen we deze "onderzoeker" misschien even weren?
Maar Krause maakt ook het punt dat in iOS die dialoog zo vaak getoond wordt dat gebruikers getraind raken hun wachtwoord in te typen als erom gevraagd wordt. Ik gebruik het zelf niet, en ik kan niet beoordelen of hij daarin gelijk heeft. Maar als het inderdaad zo is dat zo'n popup te pas en te onpas kan verschijnen dan is dat een risico.
En sowieso zou het geen kwaad kunnen als een wachtwoordprompt a) ALTIJD duidelijk aangeeft wie of wat het wachtwoord vraagt en b) dat op een manier doet die NIET voor gewone invoer beschikbaar is, zodat een malafide app het niet kan nabootsen zonder dat duidelijk is dat het die app is die om een wachtwoord vraagt. Dat betekent meteen dat er restricties worden opgelegd aan de vormgeving die ontwerpers van apps kunnen kiezen, en ik vermoed dat dat iets is wat als een onwenselijke beperking wordt gezien (waarbij men niet primair aan security denkt) en dus niet gedaan wordt.
Aldus de zelfbenoemde forensisch onderzoeker Janssen van bureau Janssen en Jansen.
Volgende week: Computer gebruikers moeten oppassen met hun toetsenbord, dit randapparaat registreert namelijk alle toetsaanslagen.
Het is openbaar en anders even de dev guide erbij pakken hoe je de popup aanroept.
Ja precies wat ik ook dacht! :-)
Ok, ok, ok... ik gebruik ios nog steeds.
Ik bedoel ik heb een oude ipad1 die als SSH shell dient voor een aantal machines van mij. Verder niks... ja VPN/WIFI/BLUE altijd aan, mijn beveiliging camera's kan ik er op bekijken maar dat doe ik zelden.
Kan er niet of bijna niet veilig op surfen. Youtube gaat prima in ios5.1.1. En emailen lijkt me ook niet verstandig... het is dus een kale, schone, niet gejailbreakte, ios5 ipad annex dom-scherm...
En sja kan zo een pop-up als deze tonen. Goede tip van die home toets!
Net als een paar weken geleden:
https://www.security.nl/posting/533139/IOS-apps+kunnen+locatiegegevens+via+foto-metadata+achterhalen
Kunnen we deze "onderzoeker" misschien even weren?
Oh, ik had niet eens in de gaten dat dit de zelfde gast was.
@redactie
Laat dit soort onzinnige berichtgeving maar over aan webwereld of zo als je dit forum nog een beetje serieus neemt.
Het klotige is met pop ups dat gebruikers zich niet realiseren dat software of apps in dit geval zelf ook pop up windows kunnen genereren.
Je met je dus inderdaad (altijd al, groot oppasvoorbeeld bestond al voor browsers) je afvragen waar die pop up vandaan komt.
Dat betekent even stoppen met alles, klikvinger in het ijs, onder water en op slot.
Stilstaan dus.
- beoordeel de pop up, lezen, wat vraagt ze
- welk programma heb je open staan en past deze vraag bij dit programma?
- heb je meerdere apps of software open staan en ben je er niet zeker van of het wel een melding is van het systeem, sluit dan inderdaad die apps eerst maar eens af.
Dat gold altijd al voor de computer en dus ook voor de mobile.
Maar ik denk dat de meeste mensen niet weet hoe ze echt alle apps even kunnen afsluiten.
En het vervelende is dat Apple geloof ik sinds kort de handige en eenvoudige force quit optie van apps heeft weggemoffeld of zelfs helemaal heeft weggehaald.
Jammer want dat is een heel werkbare methode.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
