iOS Privacy: steal.password – Easily get the user’s Apple ID password, just by asking

iOS Conclusion แจ้งเตือนระมัดระวัง Pop-up ปลอมบน iOS หลอกถาม Apple ID

นักพัฒนา Kelix Krause ได้มีการเปิดเผยแพร่ตัวอย่างการโจมตีที่ผู้ประสงค์ร้ายใช้ในการหลอกถามข้อมูลของ Apple ID ของผู้ใช้งาน โดยเพียงแค่เขียนแอปหรือสคริปต์ขึ้นมาเพื่อสร้างหน้าต่าง Pop-up ปลอมเพื่อหลอกถามข้อมูล

Kelix Krause กล่าวว่า ปัญหาของ iOS คือการแสดงหน้าต่างสำหรับกรอกข้อมูล Apple ID ที่ในบางครั้งไม่ได้จำกัดในเฉพาะแอปของแอปเปิลเอง แต่ยังแสดงนี้ในหน้าต่างแอปอีกเวลาที่ผู้ใช้งานจำเป็นต้องมีการเข้าสู่ระบบ ด้วยลักษณะนี้ผู้ประสงค์ร้ายจึงมีโอกาสในการปลอมหน้า Pop-ip นี้ขึ้นมาเพื่อหลอกข้อมูลได้

Kelix Krause ยังกล่าวเพิ่มเติมว่า วิธีการป้องกันที่ดีที่สุดคือการการกดปุ่มโฮมเพื่อปิดแอปและสังเกตพฤติกรรม คือ

- หากกดปิดแอปแล้วหน้าต่าง Pop-up สอบถามข้อมูลดังกล่าวถูกปิดไปด้วย แปลว่านั่นคือ phishing
- แต่ถ้าหากกดปิดแอปแล้วยังคงมีการแสดงหน้าต่าง Pop-up จะเป็นลักษณะของหน้าต่างจริงจากระบบ เนื่องจากแอปเปิลมีการรันหน้าต่างนี้จากต่างโปรเซสที่ไม่ใช่โปรเซสเดียวกับแอปปัจจุบัน การปิดแอปปัจจุบันจึงไม่ได้ส่งผลต่อการปิดหน้าต่างดังกล่าว

Recommendation: นอกเหนือจากนั้นการเปิดใช้งาน 2 factor authentication และการเพิ่มความระมัดระวังก็สามารถช่วยผู้ใช้งานได้มากเช่นเดียวกัน

ที่มา: krausefx

Read more