Mellékleteink: HUP | Gamekapocs
Keres

Egyszerű trükkel szerezhető meg az iOS-es felhasználók jelszava

Asztalos Olivér, 2017. október 11. 12:30

Néhány kódsorral lemásolható a jelszót kérő párbeszédablak, az Apple-nek mihamarabb változtatnia kell gyakorlatán.

Az iOS rendszerek egy komoly biztonsági problémájára hívta fel a szakma figyelmét blogbejegyzésében Felix Krause. Az alkalmazásfejlesztő szerint néhány sor programkóddal reprodukálható az Apple mobilos operációs rendszerének jelszavát kérő párbeszédablaka, ily módon pedig egyszerűen megszerezhető az óvatlan felhasználók jelszava. Krause szerint az iOS jelenlegi gyakorlata egyáltalán nem biztonságos, a szakember pedig arra is rávilágít, hogy a probléma ellen a kétfaktoros azonosítás sem jelent tökéletes gyógyírt, ezért az Apple-nek mihamarabb változtatnia kellene a jelszó bekérés formáján, hogy azt ne legyen ilyen egyszerűen reprodukálható.

Az alkalmazásfejlesztő állítja, hogy mindössze 30 sornyi programkóddal sikerült lemásolnia az iOS jelszót kérő párbeszédablakát. A reprodukáláshoz szükséges sorokat Krause természetesen nem osztotta meg, ugyanakkor szerinte pofon egyszerű összerakni a szükséges részt. Ezt követően pedig indulhat is a phishing, amelyen valószínűleg naiv felhasználók tucatjai akadnának fenn, hisz az iOS számos ok miatt, olykor már véletlenszerűnek tűnő módon kéri a felhasználó Apple ID jelszavát. Krause szerint ránézésre gyakorlatilag lehetetlen megkülönböztetni a valós és hamis párbeszédablakokat, csak néhány egyszerű módszerrel lehet szűrni a phishinget. Például az iOS bekérése esetében az alkalmazás bezárása vagy háttérbe helyezése után is a képernyőn marad a párbeszédablak, de legalább ilyen jó módszer, ha a "mégsem" gombra kattintva később, a beállítások alatt adjuk meg jelszavunkat.

Mint két tojás

Krause arra is rávilágít, hogy az iOS 11-gyel alapértelmezetté vált kétfaktoros azonosítás sem ad tökéletes védelmet, hisz a token megadásához szükséges párbeszédablak is lemásolható. Ettől függetlenül már akkor is baj lehet, ha az első lépésnél sikerült megszerezni a jelszót, hisz a felhasználók döntő többsége több szolgáltatásnál is ugyanazt a karaktersort használja, amelyet népszerűbb oldalakon végigpróbálgatva könnyen hozzáférés szerezhető különféle fiókokhoz, legyen az e-mail, közösségi oldal, vagy épp PayPal.

Végül az alkalmazásfejlesztő arra is kitér, hogy a trükköt az Apple szigorú ellenőrzési procedúrájával sem lehet kiszűrni. A vállalat szakemberei minden alkalmazást átvilágítanak még mielőtt az élesedne az App Store-ban, ám a néhány sornyi kódot utólag, távolról is be lehet ágyazni, Krause erre példaként React Native vagy egyéni JS bridge-et hoz fel megoldás gyanánt. A szakember szerint a problémára több megoldás is lenne, például, hogy a jelszót kizárólag a főképernyőn állva kérje a rendszer, vagy a párbeszédablak megjelenésével együtt megváltozzon a képernyő fényereje, esetleg más, harmadik féltől származó alkalmazások által nem elérhető, jellegzetes vizuális effekttel karonfogva jelenjen meg az iOS felhívása. Ugyancsak jó megoldás lenne, ha az iOS egy, csak az operációs rendszer és a felhasználó által ismert egyéni azonosítót helyezne el párbeszédablakban.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.