Sa website ni Felix Kraus, ang developer sa luyo sa programa fastlane, usa ka makaiikag kaayo nga piraso sa impormasyon ang mitumaw karon mahitungod sa pinakabag-o nga pamaagi sa pagpahigayon og phishing nga pag-atake nga sa pagkakaron posible nga ipahigayon sa iOS platform. Gipunting niini nga pag-atake ang password sa tiggamit sa aparato ug delikado labi na tungod kay kini tinuod nga tan-awon. Ug sa ingon nga gidak-on nga ang giatake nga tiggamit mahimong mawad-an sa iyang password sa iyang kaugalingon nga inisyatiba.
Felix sa iyang kaugalingon website nagrepresentar sa usa ka bag-ong konsepto sa usa ka pag-atake sa phishing nga mahimong makuha sa mga aparato sa iOS. Wala pa kini mahitabo (bisan kung kini posible sa daghang mga tuig), kini usa lamang ka pagpakita kung unsa ang posible. Sa lohikal nga paagi, ang tagsulat wala magpakita sa source code niini nga hack sa iyang website, apan dili tingali nga adunay usa nga mosulay niini.
Sa panguna, kini usa ka pag-atake nga naggamit sa usa ka kahon sa dialogo sa iOS aron makuha ang password sa account sa Apple ID sa user. Ang problema mao nga kini nga bintana dili mailhan gikan sa tinuod nga makita kung gitugotan nimo ang mga aksyon sa iCloud o sa App Store.
Ang mga tiggamit gigamit sa kini nga pop-up ug sa panguna pun-on kini nga awtomatiko kung kini makita. Ang problema mitungha kung ang nagmugna niini nga bintana dili ang sistema sa ingon, apan usa ka malisyosong pag-atake. Makita nimo kung unsa ang hitsura sa kini nga matang sa pag-atake sa mga imahe sa gallery. Gihubit sa website ni Felix kung giunsa mahitabo ang ingon nga pag-atake ug kung giunsa kini mapahimuslan. Igo na nga ang na-install nga aplikasyon sa iOS device adunay usa ka piho nga script nga nagsugod sa interaksyon sa interface sa gumagamit.
Ang depensa batok niini nga matang sa pag-atake medyo sayon, apan pipila lang ang maghunahuna nga gamiton kini. Kung nakakuha ka usa ka bintana nga sama niini, ug nagduda ka nga adunay dili husto, pindota lang ang Home Button (o ang katumbas sa software niini…). Ma-crash ang app sa background, ug kung lehitimo ang dialog sa password, makita gihapon nimo kini sa imong screen. Kung kini usa ka pag-atake sa phishing, ang bintana mawala kung ang aplikasyon sirado. Makita nimo ang dugang nga mga pamaagi sa website sa tagsulat, nga akong girekomenda nga basahon. Mahimo nga pila ra ka oras sa wala pa ang parehas nga mga pag-atake mikaylap sa mga app sa App Store.
Source: krusefx
Mao nga ang ingon nga pag-atake sa usa ka lehitimong aplikasyon tingali dili moagi sa kontrol sa Apple, di ba?
Mao nga pag-usab, kung wala ka usa ka jailbreak, wala ka’y makuhaan niini.
PS: Wala pa ko kakita ani nga "regular" nga tingog. Gigamit nako ang Touch ID bisan asa ;-).
Aw, nakita ko na siya karon. Ug walay TID sa iPad mini. Kagabii lang nakadawat ko og email nga adunay misulay pag-sign in gamit ang akong Apple ID gikan sa Chrome sa Windows. Syempre, nag-ilis dayon ko sa password pagkabuntag. Sa buntag, sa dihang ang akong SIM-free iPad mini naa sa wifi ug sa internet, kini gitaho nga nawala ug naka-lock, ug ako nakadawat og mensahe mahitungod niini sa akong email. Nagtuo ko nga ang pagbag-o sa password nakasulbad sa tanan, apan ang tanan kinahanglan nga mag-amping. Natingala kaayo ko sa mensahe sa display sa iPad, tan-awa ang litrato. Dili kana ingon nga sukaranan alang kanako, ug ang email address nagsulti sa tanan - kini usa ka scam ug gusto nila makuha ang akong mga detalye sa pag-login.
… tan-awa ang hulagway. https://uploads.disquscdn.com/images/81787f49f7358d75acc8a8265cc5014288f07bed46bceeca1254da2086501947.png
Ug unsa nga matang sa App kana, kung ako mangutana?
Salamat.
Wala ko kahibalo bahin sa bisan unsang app, wala ako nahibal-an bisan unsa. Gigamit nako ang iPad nga gamay, halos halos usa ka katuyoan, ug ang mga kagamitan sa mga aplikasyon katumbas niana - pipila ka sukaranan nga mga butang, wala’y lain, wala’y sulod. Gawas sa panagsa nga pag-update (ug adunay pipila), wala gyud ako mag-install bisan unsa didto, mao nga kini ang katapusan sa akong mga aparato diin magdahom ako nga ingon niini.
Ug naa ba kay Jailbreak?
Oo nga, tanga ako. Gikuha nila ang imong password ug gihatagan ang "nawala nga aparato" ug nagsulat usa ka mensahe. Pasayloa. Ang pangutana kung giunsa nila nakuha ang imong password. Aduna ka bay parehas nga password alang sa daghang mga serbisyo? Na-leak kini sa Internet (makit-an sa website https://haveibeenpwned.com asa nimo ibutang ang imong email o username)?
Naghunahuna lang ko nga ang mga lalaki wala sa hunahuna sa dihang gibilin nila kanimo ang orihinal nga password, bisan kini maayo alang kanimo, apan kana ang ilang gitawag nga backdoor.
Oo, sa akong hunahuna mahimo kini. Siyempre aduna siyay record sa maong site. Apan kinahanglan adunay matag e-mail address nga mas tigulang kaysa 10 ka tuig. :-)
Wala koy jailbreak ug wala gyud.
Adunay usab mga bag-o :-) Ang kinahanglan nimong buhaton mao ang adunay LinkedIn ug Dropbox sa sayup nga oras ug kini nahitabo na kanimo :-)
Heh, kung gisulat pa nako kini pagkahuman sa pagbalhin sa 3GS, sa akong paghunahuna bahin niini, mahimo ko nga "bantog" ... Na, wala’y dula ang kasaysayan :-D
Sa laing bahin, kung ang bintana mo-pop up nako ug wala ko kahibawo nga magsugod ko ug interaksyon sa AppStore, muhatag kog cancel nga walay pagpuno sa password...
Kini nahitabo kanako samtang gi-activate ang akong iPhone. Nanghinaut ko nga igo na ang paghatag ug laktaw. Isulat ra nako ang password ubos sa akong email.