Разработчик Феликс Краузе обнаружил в операционной системе iOS баг, позволяющий злоумышленникам украсть логин и пароль от Apple ID. Для этого используется системная функция UIAlertController, отвечающая за вызов всплывающего уведомления с запросом конфиденциальных данных. Так как такое сообщение — не редкость для пользователей iOS, то зачастую они вводят требуемую информацию, не задумываясь. Как оказалось, это может привести к потере личных данных, денежных средств и других малоприятным последствиям. Ниже мы рассмотрим способ борьбы с этим багом.
Как видно на скриншоте выше, отличить поддельное уведомление от настоящего попросту невозможно. А так как в iOS такое окно может появиться при обновлении системы, проблеме с установкой приложения, покупке внутриигровых средств, доступе сторонних приложений к iCloud или Game Center и в ряде других ситуаций, то пользователи чаще всего вводят свои данные и ни о чём не задумываются.
«В отображении диалогового окна, которое выглядит так же, как системное всплывающее окно, нет ничего сложного. Нет никакого волшебного или секретного кода. Это буквально примеры, представленные в документах Apple, с помощью специального текста. Я решил не раскрывать исходный код всплывающего окна, однако обратите внимание, что это менее 30 строк кода, и каждый разработчик iOS сможет быстро внедрить это в своё приложение», — заявил Феликс Краузе.
Он отмечает, что на протяжении долгих лет такой способ кражи личных данных был большой проблемой для настольных браузеров — сайты точно так же отправляли поддельные всплывающие окна, которые были почти идентичны обычным системным уведомлениям. С iOS сейчас происходит та же ситуация. Феликс говорит, что он уже рассказал об этом Apple, но предупредил, что сейчас компания не может запретить ввод паролей во всплывающих окнах.
Пока Apple не исправит эту ошибку, Феликс Краузе предлагает следующие способы, как обезопасить себя:
- При появлении такого уведомления нажать кнопку «Домой» и проверить, скрывается ли оно. Если приложение свернулось вместе с всплывающим окном, то это была фишинговая атака. Если же уведомление и программа остаются открытыми, то это системное сообщение.
- Не вводить данные учётной записи через всплывающие окна. Вместо этого следует отменить процесс и ввести пароль через приложение «Настройки».
- Если вы уже набрали логин и пароль, но потом нажали «Отмена», злоумышленники всё равно получат ваши данные.
Источник:
(Комментарий удален)
Предлагаю прикрутить двухфакторную авторизацию
И тишина... Одни разбитые надежды
Но интересно как Эпловцы ее будут решать. Мне кажется никак это нельзя сделать. Просто рассчет на дурака. А дураки всегда будут.
Никак? Изменить вид системного сообщения со спецвставкой, недоступной сторонним разработчикам.
Ради пиара iPhone любые новости в пользу.
Андроид и иос одинаковы по количеству (исправленных) багов, но код одной из ОС открыт, а другой проприетарный.
Всё ради хайпа, всё ради бабла ©
В том то и дело что никак. Само это сообщение - и есть спец вставка недоступная сторонним разработчикам, однако им это не помешало сделать другое сообщение, ничем не отличающееся от специального, всего в 30 строчек кода.
если бы symbian закрыли еще на 8й версии, у меня остались к ней только теплые воспоминания, нет им нужно было выпустить еще и закрытую 9ю ось, добавив пользователям геморроя с подписью приложений. Вот Nokia схлопнулась быстро и ее помнят в хорошем смысле. Яблоко будет тянуть до последнего и запомнится забагованной, быстро жрущей батарею с закрытой операционкой.
Не пропускать кого попало к себе в маркет, не?
И чем кто попало отличается от всех остальных кто пропущен в маркет? Спрашивать честное слово что не злоумышленнег?
При желании все возможно. Главное чтоб оно было
Занимающиеся торговлей как-то же понимают кому давать отсрочку,а кому нет
В новых телефонах там уже не вводишь код, там палец прикладываешь.
Палец прикладывают в старых. А в новых показывают лицо на камеру.
Угу, чтобы зайти в апстор, для Нашей, Вашей, и всех самых счастливых обладателей лучшего смартфона во вселенной, в целя безопасности, проити тачь аиди, фейс аиди, дик айди (ожидайте в скором светлом будущем)..сдать анализ кала и мочи...и ура!!! - вы можете скачать вайбер!
что ты несешь?
(Комментарий удален)
О, уже удален.. Похоже, началО..
О да, интересно, сколько раз будет использовано слово "огрызок". :)
1. Такой алерт покажется только в приложении
2. Подобная дичь может не пройти ревью приложения
3. Алерты с текстфилдом были до iOS11
4. Узнать точно email учетной записи не получится. Потребуется разрешить доступ к контактной книге в надежде найти свой аккаунт и имейл, почтовик работает только в режиме запроса отправки текста и не передает никаких данных из полей from/to/cc. Значит надо еще попросить пользователя ввести email в приложении, например при регистрации. И снова таки надеяться что он введет тот же имейл, что и от iTunes.
Какая мудрая мысль.
капитан?
Просто кэп ;)
Нее, младший сержант ещё
На ведре ещё 10 раз подумаешь, если приложенька твои данные так выпрашивать начнёт...
Думаю дитё, взявший у отца планшет или телефон, не будет на этом заострять свое внимание.
Думаю дитё не знает пароль и логин и может отправлять на сервер хакеров что угодно
например вредоносный код и разорить хакеров )))
Есть люди, которые не думают о подобных вещах. Они переходят по ссылкам в спаме и качают приложенные к ним файлы, запуская и давая все разрешения. Думаешь, таких мало? Их подавляющее большинство.
Такой мусор и не жалко.
Твои родители не пользуются интернетом, да?
Я их проинструктировал, а ноутбуке стоит Линукс к тому же. Ничего за десять лет не случилось, а тупые люди, тупые во всем
Не все и люди тупые, некоторые просто не знают таких нюансов, если им некому объяснить особенно.
Я одного знаю он до того жадный,что если ему придет смс с надписью проиди по ссылке и получи скидку 10руб.то он пройдёт по ней.и главное попадался уже и всё равно жадность его не покидает никогда.
я всё больше и больше убеждаюсь в том, что здесь очень не хватает кнопки «дизлайк».
Действительно, была бы система с плюсами и минусами, и заминусованный комментарий скрывался автоматически.
Ну так нажми "око саурона" и скрой
Ага, причём если много людей нажмёт на глазик, то сообщение будет удалено. :)
У меня мобильная версия, тут вообще ничего нету
Если зайти в брвузере то есть. Ещё приложение ForPDA https://4pda.ru/forum/index.php?showtopic=820313
Думаю после того случая все включили 2FA)
Они системные, их нужно только вызвать
Я про фальш окошки, чтоб угонять учётки
Могу ошибаться, т.к. никогда iOS не было, но я почти уверен в своих словах. Очень тесно я с ней связан.
Это надо заплатить 1000$ за "самый во всем самый самый" смартфон, а потом плясать с бубном, как я люблю на андрюше делать, чтобы им безопасно пользоваться!?...Вам не кажется что ios доганяет Андрюшу ибо без костылей уже и на оной норм пользоваться нельзя
Да, не спорю, это очень глупо. Но можно этим пользоваться пока эту проблему не решат. А в целом дела у них идут так себе. Хотя не нам об этом судить. Скорее это у пользователей их продуктов дела идут так себе.
Похоже на истину, пользую яндекс клавиатуру, а при запросе пароля вылазит родная айосная...
Вот это поворот! Впервые на манеже!
Т.е. ты пользуешься исключительно предустановленным ПО и не ставишь ничего из AppStore?
вот так, напрямую - да.*
* тк у меня нет яблоков.
Но я к чему виду - на любой оси такой финт прокатит, это даже грустняво немного.
СРОЧНО ВСЕМ!!!! РАБОТАЕТ С
Если бы да кабы
Макось и так как решето, а безопасность в нем на уровне Неуловимого джо))
Тач айди уже прошлое ))) Только фейс )))
надеюсь тебе подобные ,оч быстро вымрут
Наврятли
это выражение уже приелось:(
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
(Комментарий удален)
Это и не вирус.
1. "Новый баг" - с какого времени возможность показывать алерты стала новой фичей? Я начинал работать iOS девелопером с iOS 7, там был UIAlertView вместо UIAlertViewController - разница только для девелопера, для пользователя тоже самое.
2. Маленькая неувязочка - в тексте алерта есть email-адрес. А вот нельзя через офціальную SDK прочитать данные про Apple ID. Єдинственный вариант - надеяться что твой контакт с этим емейлом лежит в списке контактов iPhone. Так что бы получить доступ к списку контактов система спросит отдельный алерт + почт у тебя может быть вписано несколько. И тут снова неувязочка - надо знать как тебя зовуть нужного пользователя из списков контактов. Девелопер не знает имя пользователя iPhone.
Вывод - не выдет так просо взять и показать алерт с текстом 100% как системный.
Украденный/потерянный Айфон можно перешить? ФБР лям платило за взлом, а как у Андройда?