Tärkeä: Apple ID-tunnus on helppo varastaa ponnahdusikkunan avulla

Jos olet käyttänyt iOS-laitteita, olet varmasti törmännyt ponnahdusikkunaan jossa sinua pyydetään syöttämään Apple ID-salasanasi. Se näkyy usein App Storessa ja iTunes Storessa, mutta se saattaa ajoittain myös ponnahtaa kyselemään salasanaa, koska se toimii taustalla.

Itävaltalainen mobiilikehittäjä Felix Krousen kirjoittamassa artikkelissa kuinka ponnahdusikkunaa voidaan käyttää huijaamaan joku omien tunnuksien ja salasanojen luovuttamiseksi.

Krousen kertoo blogissaan, että iOS-sovelluksen kehittäjä voi toteuttaa uskomattoman helposti Apple ID-salasana tyyppisen ponnahdusikkunan ja kirjautua täten Apple-tunnukseen sekä salasanaan. Krousen mukaan koodia tarvitaan 30 riviä ja se voidaan piilottaa mihin tahansa lailliseen iOS-sovellukseen ilman, että App Storessa tehdyn tarkistuksen jälkeen se on huomaamaton.

Mobiilikehittäjä Felix Krousen toteaa, että tämä on ollu suuri ongelma jo vuosia myös työpöydän selaimissa, jonka laittomat verkkosivustot lähettävät väärennettyjä ponnahdusikkunoita, jotka ovat lähes identtisiä aitojen järjstelmäilmoituksien kanssa. Krousen kertoo, että on Applen ei pitäisi antaa sallia salasanojen syöttämistä ponnahdusikkunoihin, vaan tämä tapahtuisi menemällä App Store ->Tili.

Näin voit suojautua hyökkäykseltä, kertoo Krousen:

  • Klikkaa kotipainiketta ja katso sulkeutuuko/katoaako sovellus:– Jos se sulkee sovelluksen/valintaikkunan, tämä on huijaus niin sanottu phishing-hyökkäys.
    – Jos valintaikkuna ja sovellus ovat vielä näkyvissä, se on järjestelmän oma ilmoitus (ei huijaus). Syynä tähän on, että järjestelmän valintaikkunat toimivat eri prosesseissa, joten ne eivät ole osana iOS-sovellusta.
  • Älä anna omia tunnistetietojasi ponnahdusikkunaan vaan hylkää se ja avaa Asetukset manuallisesti. Tämä on vähän sama kuin sähköposteihin tulevat linkit. 
  • Jos klikkaat valintaikkunan Peruuta-painiketta, sovellus saa edelleen salasanakentän. Voi olla, että jopa jo ensimmäisen merkkien kirjoittamisen jälkeen huijaus-sovellus on todennäköisesti kaapannut salasanasi.

Apple suosittelee Apple ID:n kaksivaiheista tunnistusta, joka auttaa pitämään salasanat ja tiedot turvassa. Hyökkääjä ei tee pelkällä salasanalla mitään.

Lue lisää: iOS Privacy: steal.password – Easily get the user’s Apple ID password, just by asking

 

Oletko sinä joutunut tämän phishing-hyökkäyksen kohteeksi? Kirjoita meille alla olevaan kommentiin, kiitos!

4 kommenttia

  1. Pakko tätä oli kokeilla ja kirjautua ulos Apple ID:stä. Näillä näkymin ainakin itse en ainakaan ole joutunut hyökkäyksen kohteeksi. Suosittelen Apple ID:n kaksivaiheista tunnistusta.

  2. Vaan miten saa kaksivaiheisen tunnistuksen puhelinnumeron muutetuksi jos vaikka lähtee työpaikasta ja jättää työpuhelimen jossa tunnistus oli ja hankkii uuden oman numeron?

    1. Moi Olli. Tässä tapauksessa uskosin näin, että sinun pitää käydä muuttamassa uusi puhelinnumero iCloud-tililläsi (asetukset). Onko työpaikkasi puh.nro liitetty omaan iCloud-tiliisi?

      Lue lisää Apple ID:n kaksiosaisesta todennuksesta https://support.apple.com/fi-fi/HT204915 ja kohdasta “Tilin hallinta” löydät lisää tietoa!

Kommentoi artikkelia

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *