TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ได้มีการรายงานถึงช่องทางการทำ Phishing บน Apple iOS ที่เปิดให้นักพัฒนาสามารถสร้างกล่อง Login แบบปลอมๆ เพื่อหลอกผู้ใช้งานให้กรอกข้อมูลเช่น Username / Password จาก iTunes หรือบริการต่างๆ ของ Apple ได้อย่างสมจริง
รายงานนี้ถูกรายงานอยู่ใน Open Radar ซึ่งแสดงรายการ Bug และประเด็นปัญหาต่างๆ ที่เหล่านักพัฒนาแจ้งเข้าไปยัง Apple โดยผู้โจมตีสามารถสร้าง Application และเรียกใช้ UIAlertController API เพื่อสร้างกล่องสำหรับให้ผู้ใช้งานทำการกรอกรหัสผ่านปลอมสำหรับบริการต่างๆ ของ Apple เอง ไม่ว่าจะเป็น iTunes, iCloud หรือ GameCenter ได้อย่างแนบเนียน ซึ่งผู้ใช้งานเป็นจำนวนมากก็อาจตกเป็นเหยื่อได้ไม่ยากนัก
อย่างไรก็ดี ปัจจุบันนี้ยังไม่มีการพบการโจมตีด้วยวิธีการนี้จริงๆ แต่อย่างใด เพราะ Apple นั้นอาจค้นพบการโจมตีลักษณะนี้ได้ตั้งแต่ขั้นตอนการ Review Application ก่อนอยู่แล้ว แต่หากผู้โจมตีตั้งใจจะโจมตีด้วยวิธีการนี้จริงๆ ก็อาจหาทางหลบเลี่ยงการตรวจสอบได้เช่นกัน
สำหรับวิธีการตรวจสอบเบื้องต้นของการโจมตีนี้ คือ กล่อง Login นี้จะแสดงใน Application เท่านั้น หากลองกดปุ่ม Home แล้ว Application และกล่อง Login หายไปทั้งคู่ ก็แปลว่าเป็นการโจมตีแบบ Phishing ในขณะที่หากทั้ง Application และกล่อง Login ไม่หายไปไหน แปลว่าเป็นกล่อง Login ของจริง ทั้งนี้ทางคุณ Felix Krause ที่พบและแจ้งบั๊กนี้ไปก็เตือนว่าอย่าได้ทำการพิมพ์รหัสผ่านลงในกล่อง Login ปลอมเด็ดขาดแม้ว่าจะกด Cancel ภายหลังก็ตาม เพราะก็ยังมีโอกาสที่รหัสผ่านจะถูกขโมยไปได้อยู่ดี ให้ทำการตรวจสอบให้ชัดเจนก่อนใส่รหัสผ่านทุกครั้ง หรือไปใส่รหัสผ่านเองใน Settings แทนจะปลอดภัยกว่า
สำหรับบล็อกเต็มๆ สามารถอ่านได้ที่ https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking ครับ
ที่มา: https://www.theregister.co.uk/2017/10/10/apple_ios_password_prompts_phishing/
