นักพัฒนาชี้ พบทางทำ Phishing บน Apple iOS อาจถูกใช้สร้างกล่อง Login ปลอมขโมยรหัสผ่าน

ได้มีการรายงานถึงช่องทางการทำ Phishing บน Apple iOS ที่เปิดให้นักพัฒนาสามารถสร้างกล่อง Login แบบปลอมๆ เพื่อหลอกผู้ใช้งานให้กรอกข้อมูลเช่น Username / Password จาก iTunes หรือบริการต่างๆ ของ Apple ได้อย่างสมจริง

Credit: Felix Krause

 

รายงานนี้ถูกรายงานอยู่ใน Open Radar ซึ่งแสดงรายการ Bug และประเด็นปัญหาต่างๆ ที่เหล่านักพัฒนาแจ้งเข้าไปยัง Apple โดยผู้โจมตีสามารถสร้าง Application และเรียกใช้ UIAlertController API เพื่อสร้างกล่องสำหรับให้ผู้ใช้งานทำการกรอกรหัสผ่านปลอมสำหรับบริการต่างๆ ของ Apple เอง ไม่ว่าจะเป็น iTunes, iCloud หรือ GameCenter ได้อย่างแนบเนียน ซึ่งผู้ใช้งานเป็นจำนวนมากก็อาจตกเป็นเหยื่อได้ไม่ยากนัก

อย่างไรก็ดี ปัจจุบันนี้ยังไม่มีการพบการโจมตีด้วยวิธีการนี้จริงๆ แต่อย่างใด เพราะ Apple นั้นอาจค้นพบการโจมตีลักษณะนี้ได้ตั้งแต่ขั้นตอนการ Review Application ก่อนอยู่แล้ว แต่หากผู้โจมตีตั้งใจจะโจมตีด้วยวิธีการนี้จริงๆ ก็อาจหาทางหลบเลี่ยงการตรวจสอบได้เช่นกัน

สำหรับวิธีการตรวจสอบเบื้องต้นของการโจมตีนี้ คือ กล่อง Login นี้จะแสดงใน Application เท่านั้น หากลองกดปุ่ม Home แล้ว Application และกล่อง Login หายไปทั้งคู่ ก็แปลว่าเป็นการโจมตีแบบ Phishing ในขณะที่หากทั้ง Application และกล่อง Login ไม่หายไปไหน แปลว่าเป็นกล่อง Login ของจริง ทั้งนี้ทางคุณ Felix Krause ที่พบและแจ้งบั๊กนี้ไปก็เตือนว่าอย่าได้ทำการพิมพ์รหัสผ่านลงในกล่อง Login ปลอมเด็ดขาดแม้ว่าจะกด Cancel ภายหลังก็ตาม เพราะก็ยังมีโอกาสที่รหัสผ่านจะถูกขโมยไปได้อยู่ดี ให้ทำการตรวจสอบให้ชัดเจนก่อนใส่รหัสผ่านทุกครั้ง หรือไปใส่รหัสผ่านเองใน Settings แทนจะปลอดภัยกว่า

สำหรับบล็อกเต็มๆ สามารถอ่านได้ที่ https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking ครับ

 

ที่มา: https://www.theregister.co.uk/2017/10/10/apple_ios_password_prompts_phishing/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยสามารถทำการโจมตีแบบ GPS Spoofing ได้สำเร็จกับระบบนำทาง

นักวิจัยจากมหาวิทยาลัย Virginia Tech, มหาวิทยาลัย Electronic Science และ Technology of China และทีมวิจัยของ Microsoft ได้ร่วมกันค้นพบวิธีการโจมตีแบบ GPS Spoofing …

AWS ออก Lifecycle Management สำหรับ EBS Snapshot

AWS ออก Lifecycle Management สำหรับ EBS ซึ่งจะช่วยในการบริการจัดการ การสร้างและลบ Retention ของ Snapshot ได้อย่างอัตโนมัติ แทนที่แบบเดิมต้องทำเองหรือใช้เครื่องมือพิเศษต่างหาก