นักพัฒนาชี้ พบทางทำ Phishing บน Apple iOS อาจถูกใช้สร้างกล่อง Login ปลอมขโมยรหัสผ่าน

ได้มีการรายงานถึงช่องทางการทำ Phishing บน Apple iOS ที่เปิดให้นักพัฒนาสามารถสร้างกล่อง Login แบบปลอมๆ เพื่อหลอกผู้ใช้งานให้กรอกข้อมูลเช่น Username / Password จาก iTunes หรือบริการต่างๆ ของ Apple ได้อย่างสมจริง

Credit: Felix Krause

 

รายงานนี้ถูกรายงานอยู่ใน Open Radar ซึ่งแสดงรายการ Bug และประเด็นปัญหาต่างๆ ที่เหล่านักพัฒนาแจ้งเข้าไปยัง Apple โดยผู้โจมตีสามารถสร้าง Application และเรียกใช้ UIAlertController API เพื่อสร้างกล่องสำหรับให้ผู้ใช้งานทำการกรอกรหัสผ่านปลอมสำหรับบริการต่างๆ ของ Apple เอง ไม่ว่าจะเป็น iTunes, iCloud หรือ GameCenter ได้อย่างแนบเนียน ซึ่งผู้ใช้งานเป็นจำนวนมากก็อาจตกเป็นเหยื่อได้ไม่ยากนัก

อย่างไรก็ดี ปัจจุบันนี้ยังไม่มีการพบการโจมตีด้วยวิธีการนี้จริงๆ แต่อย่างใด เพราะ Apple นั้นอาจค้นพบการโจมตีลักษณะนี้ได้ตั้งแต่ขั้นตอนการ Review Application ก่อนอยู่แล้ว แต่หากผู้โจมตีตั้งใจจะโจมตีด้วยวิธีการนี้จริงๆ ก็อาจหาทางหลบเลี่ยงการตรวจสอบได้เช่นกัน

สำหรับวิธีการตรวจสอบเบื้องต้นของการโจมตีนี้ คือ กล่อง Login นี้จะแสดงใน Application เท่านั้น หากลองกดปุ่ม Home แล้ว Application และกล่อง Login หายไปทั้งคู่ ก็แปลว่าเป็นการโจมตีแบบ Phishing ในขณะที่หากทั้ง Application และกล่อง Login ไม่หายไปไหน แปลว่าเป็นกล่อง Login ของจริง ทั้งนี้ทางคุณ Felix Krause ที่พบและแจ้งบั๊กนี้ไปก็เตือนว่าอย่าได้ทำการพิมพ์รหัสผ่านลงในกล่อง Login ปลอมเด็ดขาดแม้ว่าจะกด Cancel ภายหลังก็ตาม เพราะก็ยังมีโอกาสที่รหัสผ่านจะถูกขโมยไปได้อยู่ดี ให้ทำการตรวจสอบให้ชัดเจนก่อนใส่รหัสผ่านทุกครั้ง หรือไปใส่รหัสผ่านเองใน Settings แทนจะปลอดภัยกว่า

สำหรับบล็อกเต็มๆ สามารถอ่านได้ที่ https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking ครับ

 

ที่มา: https://www.theregister.co.uk/2017/10/10/apple_ios_password_prompts_phishing/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปิดตัว Cisco Integrated System for Microsoft Azure Stack พร้อมเครือข่าย 40GbE ภายใน

Cisco ได้ออกมาประกาศเปิดตัวโซลูชัน Private Cloud ร่วมกับเทคโนโลยีของ Microsoft ภายใต้โซลูชัน Cisco Integrated System for Microsoft Azure Stack พร้อมชูจุดเด่นด้านการออกแบบสถาปัตยกรรมที่เหนือกว่าผู้ผลิตรายอื่นด้วยกัน …

Red Hat ออก Patch ใหม่ ยกเลิกการแก้ไขช่องโหว่ Spectre หลังผู้ใช้งานแจ้งว่า Boot เครื่องไม่ขึ้น

หลังจากที่ก่อนหน้านี้ทาง Red Hat ได้ออก Patch แก้ไขช่องโหว่ Spectre มา ตอนนี้ทาง Red Hat ต้องออก Patch ใหม่เพื่อยกเลิก Patch …