Apple iOS gevoeliger voor phishing dan gedacht

Zo kunnen apps op elk moment vragen op het Apple ID van gebruikers, bijvoorbeeld voor toegang tot de iTunes-store. Normaliter gebruiken apps dit enkel wanneer het noodzakelijk is, maar het is goed mogelijk voor ontwikkelaars om hiermee de credentials van gebruikers te onderscheppen.

Apple ID gevoelig voor phishing

Dit deed ontwikkelaar Felix Krause ertoe aanzetten om een bug report in te dienen bij Apple, waarin hij het probleem uitlegt:

‘iOS asks the user for their iTunes password for many reasons, the most common ones are recently installed iOS operating system updates, or iOS app that are stuck while installing them.

 

As a result, users are trained to just enter their Apple ID password whenever iOS prompts you to do so. However, those popups are not only shown on the lock screen, and the spring board, but also inside random apps, e.g. when they want to access iCloud, GameCenter or In-App-Purchases.

This could easily be abused by any app, just by showing an `UIAlertController`, that looks exactly like the system dialog.’

Apple zelf heeft nog niet gereageerd op het bug report en daar is ook niet veel reden toe tot nu toe. Er zijn immers geen gevallen bekend van malafide apps die op deze wijze de gegevens van gebruikers weten te bemachtigen. Er zal echter één ooit de eerste keer zijn, hoe gesloten Apple haar systeem ook houdt, en dan zal het bedrijf wel moeten handelen.