Od zawsze uwielbiałem, gdy pożeracze Jabłek twierdzili, że na urządzenia Apple nie ma wirusów. Piękna bajka, to tak jakby powiedzieć, że istnieją rozwiązania zapewniające stuprocentowe bezpieczeństwo (poza tymi odłączonymi od internetu, ale i tu mogą się zdarzyć wyjątkowe przypadki). Kiedyś, w erze przedsmartfonowej, Maców nie opłacało się atakować, bo w zalewie pecetów stanowiły śladowe ilości. Inaczej jest z iPhone’ami, ich jest od groma, to i opłacalność wzrosła.
Trudne, ale możliwe
Bez cienia wątpliwości skuteczna instalacja malware’u na iOSa jest trudniejsza, niż w przypadku choćby Androida, to zasługa zamkniętego systemu. Z drugiej jednak strony – ileż już razy na tych łamach wspominałem, że motywem wiodącym cyber-przestępczości w dzisiejszych czasach jest: „Nie ufaj przestępcom, zainfekuj się sam”? W znakomitej większości przypadków wektorem ataku na nas i nasze urządzenia jest phishing, a kluczem do sukcesu są umiejętności socjotechniczne i wyciągnięcie od nas naszych loginów i haseł tak, byśmy się nawet nie zorientowali, że dzieje się coś złego.
Zastanawiałem się, czy pisać o tej sprawie w mój „bezpieczniacki czwartek”, skoro w sieci pojawiła się dzień wcześniej, jednak chyba nie wszyscy czytelnicy Bloga Orange czytają zaprzyjaźnioną z nami Zaufaną Trzecią Stronę (a warto! 🙂 ). Otóż niemiecki bloger i badacz (nie lubię słowa „riserczer”, polski język jest piękny) bezpieczeństwa Felix Krause wykrył lukę w systemie iOS, dzięki której źli ludzie mogą wykreować phishing (prawie) idealny.
Które okno jest prawdziwe?
Wyskakujące okienko, proszące o potwierdzenie hasła do naszego konta iTunes. Nawet ja, testując kilka iPhone’ów, miałem z nim parę razy do czynienia, więc zakładam, że dla „ajfoniarzy” to chleb powszedni. I w sumie dobrze – autoryzacji nigdy za wiele, toż chodzi o nasze dane, pieniądze, etc. Pytanie tylko… skąd mamy wiedzieć, skąd wzięło się to okno?
Pytanie o hasło może paść po instalacji nowej wersji systemu. Albo, gdy aplikacja ma problem z instalacją. Gdy pojawiają się zakupy w aplikacji. Kiedy potrzebuje dostać się do chmury. Problem w tym, że o hasło może spytać każda aplikacja, a nie tylko systemowa! Deweloperzy mogą wrzucić pop-up gdziekolwiek, a jego treść – jak widać na obrazku – nie podlega kontroli! Jak sprawdzić, które jest prawdziwe?
Na szczęście sposób jest trywialnie prosty – wcisnąć przycisk „Home”. Aplikacja zniknie, wyjdziemy na główny ekran. Jeśli wraz z nią zniknie okno – brawo, ubity phishing na Twoim koncie. Jeśli okno zostanie – jest systemowe, możesz wpisać hasło.
Jak zawsze – ostrzeżcie bliskich i znajomych. Po więcej bardziej technicznych informacji zajrzyjcie na bloga Felixa.
Tylko bić brawo dla takich inicjatyw :-)
