iOS - eine neue Phishing Attacke könnte eure Apple ID stehlen
Wenn man Nutzer von iOS ist, blieb man in der Vergangenheit von Viren und anderen Attacken im Gegensatz zu Android relativ verschon. Eine neue einfache Phishing Attacke könnte euch aber derart austricksen, dass ihr freiwillig eure Apple ID inkl. Passwort preisgebt.
Der österreichische Entwickler Felix Krause beschreibt das Verfahren in einem Blogpost. Demnach ist es ein leichtes für einen iOS Entwickler das bekannte Apple ID Login Popup nachzubauen. Knapp 30 Zeilen Code umfasst diese Sache und man könnte den Quellcode auch ohne Probleme am App Review Team vorbei schiffen.
Showing a dialog that looks just like a system popup is super easy, there is no magic or secret code involved, it's literally the examples provided in the Apple docs, with a custom text.Mit diesem Popup, welches jeder iOS User kennt, kommt der Entwickler relativ einfach an eure Apple ID und das dazugehörige Passwort. Es gibt aber auch einen Weg sich selbst zu schützen:I decided not to open source the actual popup code, however, note that it's less than 30 lines of code and every iOS engineer will be able to quickly build their own phishing code.
Hit the home button, and see if the app quits:If it closes the app, and with it the dialog, then this was a phishing attack If the dialog and the app are still visible, then it's a system dialog. The reason for that is that the system dialogs run on a different process, and not as part of any iOS app. Don't enter your credentials into a popup, instead, dismiss it, and open the Settings app manually. This is the same concept, like you should never click on links on emails, but instead open the website manually If you hit the Cancel button on a dialog, the app still gets access to the content of the password field. Even after entering the first characters, the app probably already has your password.Also betätigt erstmal den Home Button. Das Popup und die App sollten nicht schließen. Ist das der Fall handelt es sich um eine korrekte Abfrage und einen dementsprechenden Systemdialog. Weiterhin solltet ihr unbedingt die Zwei-Faktor-Authentifikation auf der Apple ID Website aktivieren, wenn nicht schon geschehen.