Néhány nappal ezelőtt egy hibát fedeztek fel az iOS 8 levelezőalkalmazásában, amely lehetővé teszi a rosszindulatú személyek számára, hogy az iCloud felhasználónevedet és jelszavaikat megkérdezzék egy olyan előugró ablakban, amely nagyon hasonlít a natív iCloud bejelentkezési prompthez. A hiba lehetővé teszi a távoli HTML tartalom betöltését az eredeti e-mail üzenet tartalmának helyett.
Szerencsére van néhány egyszerű módszer annak megállapítására, hogy a bejelentkezési kérés jogszerű-e, vagy megtévesztő. Így kerülheti el az ilyen adathalász támadásokat.
- A felhasználónév automatikusan kitöltődik és szürkén jelenik meg az érvényes iCloud bejelentkezési kérés esetén. Ha a felhasználónév üres vagy megváltoztatható, akkor valószínűleg hamis.
- A hamis prompt csak az e-mail törzsrészében jelenik meg a Levelező alkalmazásban.
- Jogos kérés esetén a billentyűzet automatikusan megjelenik. Ezzel szemben meg kell koppintania a mezők belsejében a billentyűzet előállításához hamis eset esetén.
- A törvényes bejelentkezés gyors, modális, ami azt jelenti, hogy csak az OK vagy a Mégse gombot érintse meg, csak az Ok vagy a Mégse gombot teheti meg. A hamis prompt nem modális, tehát ha a Kezdőlap gomb megnyomásával a Kezdőképernyőre viszi, miközben a prompt megjelenik, ez azt jelentené, hogy csalás és ezért nem szabad megbízni benne.
Ha figyelmeztet és emlékszik ezekre a pontokra, akkor képesnek kell lennie az ilyen adathalász támadások elkerülésére.
A legjobb módja annak, hogy megvédje magát az ilyen támadásoktól, ha engedélyezte az Apple ID kétlépcsős azonosítását. Ha segítségre van szüksége, akkor kövesse útmutatóunkat.
Frissítés: Ha már megsemmisítette iPhone-ját, telepítenie kell a DeDirect alkalmazást, a jailbreak csípése blokkolja az ilyen rosszindulatú felbukkanó ablakokat a Mail alkalmazásban. Köszönöm Chrisnek!
Az Apple elismerte a problémát, és azt mondta, hogy kijavítja azt egy közelgő szoftverfrissítéssel.