CUPERTINO, BRATISLAVA. Používatelia mobilných zariadení s operačným systémom iOS by mali byť mimoriadne opatrní pri vkladaní hesla k svojmu Apple ID.
Aplikácie môžu kedykoľvek podvrhnúť falošné dialógové okno, ktoré je na nerozoznanie od toho pravého.
Zobrazuje sa nepravidelne
Na bezpečnostnú hrozbu upozorňuje podľa magazínu ArsTechnica mobilný vývojár Felix Krause. Ten predviedol, ako možno do repozitára aplikácií zaradiť kód, ktorý pre krádež hesiel vytvára falošné dialógy.
Problémom je, že kritizované okno so žiadosťou o heslo sa zobrazuje často, nepravidelne a takmer bez možnosti odhalenia súvislostí.
Ak prebehnú aktualizácie, žiadajú sa zmeny bezpečnostných nastavení, alebo len čosi zlyhá pri inštalácii aplikácie, objaví sa žiadosť o heslo k Apple ID.
Používatelia, ktorí automaticky vpisujú znova a znova heslá nemusia zistiť, že ide o podvrh. Operačný systém nijakým spôsobom neodlišuje systémový dialóg od toho, ktorý dokáže vytvoriť aplikácia.
Odporúča sa preto heslá nevpisovať interaktívne, ale využiť pre ich vkladanie prístup do menu.
Odlišíť systémové dialógy
Bezpečnostní analytici sa nazdávajú, že hoci nejde o techniku zneužívanú hackermi, Apple by mal zapracovať nad tým, aby kľúčové systémové dialógy odlíšil od tých z aplikácií doplnkami, na ktoré softvéry dosah nemajú.
Príkladom je zmena farby systémových prvkov, či vloženie tajného slova do dialógu, ktoré pozná len Apple a používateľ samotný.
Dvojfaktorové prihlasovanie nie je riešením, zneužiť ho možno rovnakým spôsobom ako jednoduché heslá.