iPhone을 소유하고 있다면 iTunes, App Store 또는 앱 내에서 구매할 때 Apple ID에 대한 끊임없는 요청에 익숙해집니다. 작은 팝업이 나타나고 눈을 굴리며 성실하게 비밀번호를 입력합니다.
그러나 그 팝업이 Apple에서 온 것이 아니라 해커가 사용자의 자격 증명을 훔치려는 시도의 공식적인 요청처럼 보이도록 설계된 경우에는 어떨까요? 이것이 바로 앱 개발자 인 Felix Krause가 제안한 사례입니다. 개념 증명 분석 악의적 인 유사 팝업의
Krause가 지적했듯이 30 줄 미만의 코드를 사용하여 매우 설득력있는 피싱 대화 상자를 만들 수 있습니다. 나란히 놓인 사진에서 그는 Apple의 공식 ID 암호 요청을 자신의 노력과 비교합니다. 코드가 앱과 함께 밀수되어 사용자에게 표시되는 것은 Apple의 UI가 아니라 실제로 앱의 알림이되는 것입니다. 그의 사진에서 알 수 있듯이 이것은 iTunes Store에 로그인 팝업과 동일하게 보이도록 개발자가 설계 할 수 있습니다.
Apple 측의 주요 문제는 iOS가 알림 소스 간의 차이를 구분하기 어렵게 만든다는 것입니다. iOS는 시스템 UI와 앱 UI 요소를 매우 명확하게 구분해야하므로 이상적으로는 일반 스마트 폰 사용자에게 뭔가 이상해 보이는 것이 […] 분명합니다.
관련보기 악성 코드의 비즈니스 주요 사이버 공격에 대비하고, 국립 사이버 보안 센터 Equifax가 악성 다운로드 및 악성 코드를 제공하는 웹 페이지를 강제로 삭제해야한다고 경고합니다. 이것은 해결하기 까다로운 문제이며 웹 브라우저는 여전히이 문제를 해결하고 있습니다. 여전히 팝업을 macOS / iOS 팝업처럼 보이게하는 웹 사이트가 있으므로 많은 사용자가 [그들이] 시스템 메시지라고 생각합니다.
Krause는 사용자가 팝업 대신 설정 앱에 비밀번호를 입력하도록하는 등 문제에 대한 몇 가지 잠재적 인 해결책을 추가합니다. 일어날 가능성이 더 큰 것은 Apple이 공식적인 요청임을 나타내는 추가 아이콘을 포함하도록 시스템 프롬프트의 디자인을 변경하라는 그의 제안입니다. 그는 아래의 일부 푸시 알림에 사용 된 느낌표를 가리 킵니다.
Dayz에서 불을 피우는 방법
현재 개발자는 모바일 피싱을 방지하기 위해 사용자가 취할 수있는 몇 가지 단계에 대해 설명합니다. 가장 쉬운 방법은 홈 버튼을 누르는 것입니다. 이렇게하면 앱과 대화 상자가 닫히면 피싱 공격입니다. 대화 상자와 앱이 여전히 표시되면 시스템 대화 상자입니다.
또한 이러한 유형의 공격은 악성 앱이App Store 검토 프로세스와 개발자가 코드를 활성화합니다. 애플은 일반적으로 이런 종류의 일을하고 있으며, 그러한 지침 위반이 감지되면 조치를 취할 것입니다. 그러나 Krause는나쁜 의도를 가진 조직은 항상 플랫폼의 한계를 어떻게 든 해결할 수있는 방법을 찾을 것입니다.