Οι απαιτήσεις κωδικού πρόσβασης του iPhone σας δεν είναι απλά ενοχλητικές, αλλά είναι ένα ελάττωμα ασφαλείας.
Ένας προγραμματιστής έχει προειδοποιήσει ότι είναι δυνατό να δημιουργηθεί μια επίθεση ηλεκτρονικού “ψαρέματος” (phishing) με βάση ένα ψεύτικο αίτημα σύνδεσης για τα διαπιστευτήρια της Apple ID.
Η συνήθεια του iPhone να ζητάει επανειλημμένα τον κωδικό πρόσβασης στο Apple ID με ελάχιστη εξήγηση ή προειδοποίηση δεν είναι απλώς ενοχλητική – είναι επίσης ένα ελάττωμα ασφαλείας το οποίο θα μπορούσε να επιτρέψει στους επιτιθέμενους να δημιουργήσουν εξαιρετικά πειστικές επιθέσεις phishing, προειδοποίησε ένας προγραμματιστής της iOS.
Οι τακτικοί χρήστες iPhones ή iPads βρίσκονται αντιμέτωποι σε σποραδικά αιτήματα από το λειτουργικό σύστημα για να εισαγάγουν τον κωδικό πρόσβασης Apple ID, συνήθως με την μορφή αναδυόμενου παραθύρου στη μέση των δραστηριοτήτων τους και εμποδίζοντας τους να συνεχίσουν μέχρι να εκπληρώσουν το αίτημα.
Μπορεί να είναι απογοητευτικό, ειδικά εάν ο κωδικός πρόσβασης είναι μακρύς και σύνθετος και μπορεί συχνά να είναι δύσκολο να καταλάβετε γιατί, ακριβώς, η συσκευή χρειάζεται τα διαπιστευτήριά σας. Αλλά σύμφωνα με τον υπεύθυνο ανάπτυξης Felix Krause, τα αδιάκοπα αιτήματα είναι κάτι περισσότερο από μονόχνωτο ζήτημα.
“Οι χρήστες είναι υποχρεωμένοι να εισάγουν τον κωδικό τους Apple ID όποτε τους ζητηθεί το iOS . Ωστόσο, αυτά τα αναδυόμενα παράθυρα δεν εμφανίζονται μόνο στην οθόνη κλειδώματος και στην αρχική οθόνη, αλλά και μέσα σε τυχαίες εφαρμογές, π.χ. όταν θέλουν να αποκτήσουν πρόσβαση στο iCloud, στο GameCenter ή στις αγορές εντός εφαρμογής “, ανέφερε ο Krause.
“Αυτό θα μπορούσε εύκολα να καταστρατηγηθεί από οποιαδήποτε εφαρμογή, μόνο με την εμφάνιση [συναγερμού] που μοιάζει ακριβώς με το διάλογο του συστήματος. Ακόμη και οι χρήστες που γνωρίζουν πολλά για την τεχνολογία δυσκολεύονται να εντοπίσουν ότι αυτές οι ειδοποιήσεις είναι επιθέσεις ηλεκτρονικού ψαρέματος.
Οι τυποποιημένες ειδοποιήσεις της Apple φαίνονται όμοιες με εκείνες που μπορούν να παρουσιάσουν οι κανονικοί προγραμματιστές, σημείωσε ο Krause, πράγμα που σημαίνει ότι ένα καλοφτιαγμένο pop-up phishing δεν θα μπορούσε να παρουσιάσει απολύτως κάποιοι οπτική προειδοποίηση ότι κάτι δεν πάει καλά.
Η Apple αρνήθηκε να σχολιάσει.
Όπως έχει ήδη συσταθεί, υπάρχει μόνο ένας τρόπος με τον οποίο ο χρήστης μπορεί να είναι σίγουρος ότι το αίτημα για κωδικό πρόσβασης προέρχεται από την Apple και όχι από μια εφαρμογή απατεώνων, δήλωσε ο Krause: Το πρώτο πράγμα που πρέπει να κάνετε είναι να πατήσετε το πλήκτρο Hone πριν εισαγάγετε τον κωδικό πρόσβασης. Αυτό συμβαίνει επειδή μόνο η ίδια η Apple μπορεί να ανταποκριθεί στις εισόδους αναφορικά με το πλήκτρο home. Οποιαδήποτε άλλη εφαρμογή θα αναγκαστεί να τερματιστεί και να κλείσει, και μαζί της, το ψεύτικο pop up.
Δεν υπάρχουν αποδείξεις ότι η πρόταση του Krause έχει εφαρμοστεί στην πράξη από οποιονδήποτε αδίστακτο προγραμματιστή ή χάκερ και ότι η χρήση του για μια αποτελεσματική επίθεση phishing έχει ακόμα δύο εμπόδια για να ολοκληρωθεί: Πρώτον, η κακόβουλη εφαρμογή πρέπει να να πάρει άδεια από τους αναθεωρητές της Apple για να φτάσει στο App Store. και δεύτερον ο προγραμματιστής πρέπει να πείσει τους χρήστες να το εγκαταστήσουν.
Παρ ‘όλα αυτά, το πρόβλημα που αντιμετωπίζει η Apple είναι αυτό που πολλοί άλλοι προγραμματιστές λογισμικού χρειάστηκε να αντιμετωπίσουν όλα αυτά τα χρόνια. Η “υπερφόρτωση ασφαλείας”, ή ο κίνδυνος οι χρήστες να ταλαιπωρούνται από τα χαρακτηριστικά ασφαλείας στην πραγματικότητα πιθανόν να δημιουργούν ανασφάλεια, το οποίο είναι ένα μακροχρόνιο πρόβλημα.
Είναι γνωστό ότι τα Windows Vista ξεκίνησαν με μια λειτουργία που ονομάζεται Έλεγχος λογαριασμού χρηστών, το οποίο αποσκοπούσε στην αποτροπή της εξαγοράς μολυσμένου υπολογιστή. Αλλά στην πράξη, αυτό σήμαινε ότι το λειτουργικό σύστημα διέκοψε τον χρήστη να ζητήσει άδεια σχεδόν κάθε φορά που κάποιο πρόγραμμα ζητούσε να μπει σε λειτουργία. Αυτό σημαίνει ότι οι χρήστες γρήγορα έμαθαν να κάνουν απλώς να κλικ στο κουμπί “Συνέχεια” χωρίς να διαβάσουν το διάλογο, να ανατρέψουν την πρόοδο ασφαλείας. Οπότε αναγκάστηκε η Microsoft να αντικαταστήσει πλήρως αυτό το χαρακτηριστικό γνώρισμα στα Windows 7.
Ακόμα και πριν, όμως, η Microsoft είχε λύσει ένα από τα προβλήματα που επηρεάζει επί του παρόντος το iOS. Στις εκδόσεις των Windows για επιχειρηματικούς πελάτες, κατέληξε σε ένα έξυπνο τρόπο για να διασφαλίσει ότι το κακόβουλο λογισμικό δεν θα μπορούσε να ζητήσει τον κωδικό πρόσβασης ενός χρήστη: η πραγματική οθόνη σύνδεσης σε αυτές τις εκδόσεις των Windows μπορεί να έχει πρόσβαση μόνο χρησιμοποιώντας μια εντολή πληκτρολογίου, την control-alt-Delete, που μόνο η Microsoft είναι σε θέση να ανταποκριθεί.
Είναι η ίδια ιδέα με την πρόταση του Felix Krause που πρέπει να πατηθεί το κουμπί του σπιτιού πριν εισέλθει στους κωδικούς πρόσβασης, εκτός από την προαναφερόμενη περίπτωση που εφαρμόστηκε σχεδόν πριν από 20 χρόνια. Όσο περισσότερα πράγματα αλλάζουν, τόσο περισσότερο μένουν τα ίδια.
