Tietoturva

IPhonesta paljastui huijauskeino: Näin erotat urkinnan aidosta salasanakyselystä

Julkaistu:

Apple
Applen iPhone- ja iPad-laitteissa on mahdollista huijata käyttäjien tunnuksia pienen koodinpätkän avulla.
Applen iPhonen käyttäjät ovat tottuneet siihen, että esimerkiksi uutta sovellusta ladattaessa puhelin pyytää kirjautumaan uudestaan iTunes-kauppaan Apple ID -tunnuksen avulla. Salasanaa saatetaan pyytää myös esimerkiksi päivityksissä tai ostettaessa sisältöä sovelluksien sisällä.

Salasana annetaan yleensä empimättä, mutta ensi kerralla olisi ehkä syytä katsoa tarkemmin, mihin tunnuksensa antaa.

Ohjelmistokehittäjä Felix Krause varoittaa blogissaan, että hakkerit saattavat käyttää näitä kirjautumisia käyttäjien Apple ID -salasanojen urkkimiseen. Tunnusten avulla voi päästä myös käyttäjän iCloud-pilvipalveluun tai mahdollisesti tehdä ostoksia hänen nimissään.

Krausen mukaan sovelluskehittäjät pystyvät tekemään Applen iPhonelle ja iPad-tabletille pop-up-ilmoituksia, jotka ovat lähes samanlaisia kuin laitteiden iOS-käyttöjärjestelmän kyselyt.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Krause esittelee oikeaa ja väärennettyä salasanakyselyä Twitter-viestissään.



Jos Twitter-viesti ei näy, voit katsoa sen tästä.

Väärennetyn salasanakyselyn tekemiseen tarvitaan vain 30 koodiriviä, jotka on piilotettu iPhone-sovellukseen. Krausen mukaan kopion tekemiseen meni häneltä vain 15 minuuttia.

Krausen mukaan huijauskyselyn erottaa aidosta painamalla koti-näppäintä. Jos kysely on tehty sovelluksella, ja se on siis väärennetty, koti-näppäimen painallus sammuttaa sovelluksen, ja kysely katoaa näkyvistä. Aidot käyttöjärjestelmän ilmoitukset taas pysyvät näkyvissä koti-näppäimen painamisesta huolimatta.

Hän ehdottaa Applelle useita muutoksia tapaan, jolla iOS-järjestelmä kysyy salasanoja. Pop-up-kyselyjen sijaan käyttäjiä voisi pyytää kirjoittamaan tunnukset puhelimen asetuksissa.

Krausen mukaan Applen kannattaisi myös muuttaa järjestelmän pop-up-kyselyjen ulkoasua siten, etteivät sovelluskehittäjät pystyisi omilla työkaluillaan tekemään niitä muistuttavia ilmoituksia.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt