Top Ad unit 728 × 90

Devenu facil de Voler le mot de passe iCloud d'un utilisateur d'iPhone par un développeur !

Confidentialité iOS: steal.password - Obtenez facilement le mot de passe de l'identifiant Apple, en le demandant simplement

Voulez-vous le mot de passe d'identification Apple de l'utilisateur, pour accéder à son compte Apple ou pour essayer la même combinaison d'e-mail / mot de passe sur différents services Web? Il suffit de demander poliment à vos utilisateurs, ils vont probablement remettre leurs informations d'identification, car ils sont formés pour le faire 


Avertissement

Ceci est juste une preuve de concept, les attaques de phishing sont illégales! N'utilisez pas ceci dans aucune de vos applications. L'objectif de ce blog est de combler le vide juridique qui existe depuis de nombreuses années et qui n'a pas encore été abordé. Pour des raisons morales, j'ai décidé de ne pas inclure le code source de la popup, mais il était étonnamment facile de reproduire la boîte de dialogue du système.

Pourquoi cela fonctionne-t-il?

iOS demande à l'utilisateur son mot de passe iTunes pour plusieurs raisons, les plus courantes sont les mises à jour du système d'exploitation iOS récemment installées ou les applications iOS bloquées pendant l'installation.

Par conséquent, les utilisateurs sont formés pour entrer leur mot de passe d'identification Apple chaque fois que iOS vous le demande. Cependant, ces fenêtres contextuelles ne sont pas seulement affichées sur l'écran de verrouillage, et sur l'écran d'accueil, mais également dans des applications aléatoires, par ex. quand ils veulent accéder à iCloud, GameCenter ou In-App-Achats. 

Cela pourrait facilement être abusé par n'importe quelle application, juste en montrant un UIAlertController, qui ressemble exactement à la boîte de dialogue du système.Même les utilisateurs qui en savent beaucoup sur la technologie ont du mal à détecter que ces alertes sont des attaques de phishing. 

Comment pouvez-vous vous protéger contre ces attaques?

  • Appuyez sur le bouton principal et vérifiez si l'application se ferme:
  1. Si elle ferme l'application, et avec elle le dialogue, alors c'était une attaque de phishing
  2. Si la boîte de dialogue et l'application sont toujours visibles, c'est une boîte de dialogue système. La raison en est que les dialogues du système s'exécutent sur un processus différent, et non dans le cadre d'une application iOS.
  • Ne saisissez pas vos informations d'identification dans une fenêtre contextuelle, ignorez-la et ouvrez l'application Paramètres manuellement. C'est le même concept, comme vous ne devriez jamais cliquer sur les liens sur les emails, mais plutôt ouvrir le site manuellement
  • Si vous cliquez sur le bouton Annuler dans une boîte de dialogue, l'application accède toujours au contenu du champ de mot de passe. Même après avoir entré les premiers caractères, l'application a probablement déjà votre mot de passe.
Au départ, je pensais que truquer ces alertes nécessite que le développeur de l'application connaisse votre email. Il s'avère que certaines de ces fenêtres d'authentification n'incluent pas l'adresse e-mail, ce qui facilite encore plus la demande de mot de passe par les applications d'hameçonnage.


Proposition

Les navigateurs web modernes font déjà un excellent travail en protégeant les utilisateurs contre les attaques de phishing. L'hameçonnage dans les applications mobiles est un concept plutôt nouveau, et donc encore assez inexploré.
  • Lorsque vous demandez l'identifiant Apple à l'utilisateur, au lieu de demander le mot de passe directement, demandez-lui d'ouvrir l'application des paramètres.
  • Corrigez la racine du problème, les utilisateurs ne devraient pas être constamment demandé leurs informations d'identification. Cela n'affecte pas tous les utilisateurs, mais j'ai moi-même eu ce problème pendant plusieurs mois, jusqu'à ce qu'il disparaisse au hasard.
  • Les boîtes de dialogue des applications peuvent contenir l'icône de l'application en haut à droite de la boîte de dialogue, pour indiquer qu'une application vous le demande, et non le système. Cette approche est également utilisée par les notifications push, de cette façon, une application ne peut pas envoyer des notifications push uniquement en tant qu'application iTunes.
Parfois, iOS affiche la notification suivante sur l'écran de verrouillage, ce qui ouvre l'écran Paramètres iCloud, c'est une bien meilleure approche que de demander le mot de passe directement: 

Complexité

Montrer une boîte de dialogue qui ressemble à une fenêtre contextuelle est super facile, il n'y a pas de code magique ou secret, c'est littéralement les exemples fournis dans les docs Apple, avec un texte personnalisé.

J'ai décidé de ne pas ouvrir le code popup réel, cependant, notez qu'il s'agit de moins de 30 lignes de code et que chaque ingénieur iOS sera capable de créer rapidement son propre code d'hameçonnage.

 Q et R

Imaginez que tout le monde lise ceci avant de poster un commentaire sur HackerNews / Reddit #oneCanDream :) 

Mais, j'ai 2 facteurs activés, je suis en sécurité, non?

Bon pour vous, tout le monde devrait utiliser la vérification en deux étapes, bien que beaucoup ne le fassent pas. Dans le même temps, même si votre compte Apple est protégé par 2FA, de nombreux utilisateurs utilisent toujours la même combinaison nom d'utilisateur / mot de passe sur la plupart des services Web, ce qui signifie que si les pirates connaissent votre mot de passe, ils vont essayer la même combinaison. sur d'autres services communs.

En outre, même avec les comptes compatibles 2FA, que se passe-t-il si l'application vous a demandé votre code en deux étapes? La plupart des utilisateurs demanderaient volontiers un jeton 2FA et le demanderaient directement à un serveur distant. 

Apple n'accepterait jamais une telle application, non?

Apple fait un excellent travail en protégeant les utilisateurs contre les applications tierces dangereuses, c'est pourquoi l'App Store est construit et fourni comme il est, c'est pourquoi nous codons signer notre application (pas vraiment, mais en quelque sorte).

Cependant, il est assez facile d'exécuter du code seulement après que l'application a été approuvée, ce ne sont pas de nouvelles idées, mais juste pour vous donner quelques idées:

  • Utilisez le code à distance (qui n'est pas autorisé par lui-même, sauf pour JavaScript), React Native ou un pont JS personnalisé est votre ami
  • Utilisez l'API de recherche iTunes pour comparer le numéro de version actuel avec le numéro de version de l'App Store (exemple de demande), de cette façon l'application peut automatiquement activer le code malveillant après son approbation.
  • Utiliser un outil de configuration à distance pour activer une fonctionnalité uniquement après l'approbation d'une application par Apple
  • Utilisez un déclencheur basé sur le temps: il suffit d'ignorer l'exécution de certains codes la première semaine après la soumission du fichier binaire, ce qui signifie que le code ne sera exécuté qu'une fois l'application approuvée ou rejetée.
  • Tirer un Uber et ne pas exécuter un certain code lorsque l'emplacement est près de Cupertino (il est probablement fixé par Apple maintenant)

Les choses ci-dessus sont de notoriété publique, la plupart des développeurs iOS sont conscients, et je déconseille fortement d'utiliser tout cela, Apple finira par vous attraper et bloquer votre compte.
Le point de cette liste est: Alors que le processus de révision fournit un filtre de sécurité de base, les organisations ayant de mauvaises intentions trouveront toujours un moyen de contourner les limites d'une plate-forme.

Phishing sur mobile? Est-ce une chose maintenant?

Cette zone deviendra de plus en plus pertinente, les utilisateurs n'étant pas informés et les systèmes d'exploitation mobiles ne séparant pas encore clairement l'interface utilisateur du système et l'interface utilisateur de l'application. Cela est en quelque sorte lié à detect.location, où les applications écrivent leur propre sélecteur d'image personnalisé pour fournir une meilleure "expérience", mais en réalité, avec cela, ils ont également un accès complet à votre bibliothèque d'images, et éventuellement aussi votre appareil photo (lié à watch.user).
iOS devrait faire une distinction très nette entre les éléments de l'interface utilisateur du système et ceux de l'application, de sorte que, idéalement, il est même évident pour l'utilisateur moyen du smartphone que quelque chose ne va pas. C'est un problème difficile à résoudre, et les navigateurs Web s'y attaquent encore, vous avez toujours des sites Web qui font ressembler les popups à des popups macOS / iOS, de sorte que beaucoup d'utilisateurs pensent que c'est un message système.

Mais, mais, mais, pourquoi est le. symbole dans le ", est-ce tout faux?

Non, en fait, c'est comme ça que la boîte de dialogue du système ressemble, le. est dans la notation «chaîne», donc j'ai conçu le dialogue de phishing pour inclure également le même style.

Devenu facil de Voler le mot de passe iCloud d'un utilisateur d'iPhone par un développeur ! Reviewed by Badr Dev on 18:35 Rating: 5

Aucun commentaire:

All Rights Reserved by Cours Réparation : On vous Explique Comment © 2014 - 2023
Powered By Blogger, Designed by Sweetheme

Formulaire de contact

Nom

E-mail *

Message *

Fourni par Blogger.
Pour Trouvez D'autre Solution ... !!
Cliquer Sur " J'aime " ^_^