Ar wefan Felix Kraus, y datblygwr y tu ôl i'r rhaglen fastlane, mae darn diddorol iawn o wybodaeth wedi dod i'r amlwg heddiw ynglŷn â'r dull diweddaraf o gynnal ymosodiad gwe-rwydo sy'n bosibl ei berfformio ar y platfform iOS ar hyn o bryd. Mae'r ymosodiad hwn yn targedu cyfrinair defnyddiwr y ddyfais ac mae'n beryglus yn bennaf oherwydd ei fod yn edrych yn wirioneddol real. Ac i'r fath raddau y gallai'r defnyddiwr yr ymosodwyd arno golli ei gyfrinair ar ei liwt ei hun.
Felix ar ei ben ei hun gwefan yn cynrychioli cysyniad newydd o ymosodiad gwe-rwydo a all fynd ar ddyfeisiau iOS. Nid yw hyn yn digwydd eto (er ei fod wedi bod yn bosibl ers sawl blwyddyn), nid yw ond arddangosiad o'r hyn sy'n bosibl. Yn rhesymegol, nid yw'r awdur yn arddangos cod ffynhonnell yr hac hwn ar ei wefan, ond nid yw'n annhebygol y bydd rhywun yn rhoi cynnig arni.
Yn y bôn, mae'n ymosodiad sy'n defnyddio blwch deialog iOS i gael cyfrinair cyfrif Apple ID y defnyddiwr. Y broblem yw nad oes modd gwahaniaethu rhwng y ffenestr hon a'r un go iawn sy'n ymddangos pan fyddwch chi'n awdurdodi gweithredoedd ar iCloud neu'r App Store.
Mae defnyddwyr wedi arfer â'r naidlen hon ac yn y bôn yn ei llenwi'n awtomatig pan fydd yn ymddangos. Mae'r broblem yn codi pan nad y system fel y cyfryw yw cychwynnwr y ffenestr hon, ond ymosodiad maleisus. Gallwch weld sut olwg sydd ar y math hwn o ymosodiad yn y delweddau yn yr oriel. Mae gwefan Felix yn disgrifio'n union sut y gall ymosodiad o'r fath ddigwydd a sut y gellir manteisio arno. Mae'n ddigon bod y cymhwysiad sydd wedi'i osod yn y ddyfais iOS yn cynnwys sgript benodol sy'n cychwyn y rhyngweithio rhyngwyneb defnyddiwr hwn.
Mae amddiffyn yn erbyn y math hwn o ymosodiad yn gymharol hawdd, ond ychydig fyddai'n meddwl ei ddefnyddio. Os byddwch chi byth yn cael ffenestr fel hon, a'ch bod chi'n amau nad yw rhywbeth yn hollol iawn, pwyswch y Botwm Cartref (neu'r meddalwedd cyfatebol ...). Bydd yr ap yn cwympo i'r cefndir, ac os oedd y deialog cyfrinair yn gyfreithlon, byddwch chi'n dal i'w weld ar eich sgrin. Os oedd yn ymosodiad gwe-rwydo, bydd y ffenestr yn diflannu pan fydd y cais ar gau. Gallwch ddod o hyd i fwy o ddulliau yn gwefan yr awdur, yr wyf yn argymell darllen. Mae'n debyg mai dim ond mater o amser yw hi cyn i ymosodiadau tebyg ledaenu i apiau yn yr App Store.
Ffynhonnell: krausefx
Felly mae'n debyg na fyddai ymosodiad o'r fath mewn cais cyfreithlon yn pasio rheolaeth Apple, dde?
Felly eto, os nad oes gennych jailbreak, nid oes gennych unrhyw le i'w ddal.
PS: Nid wyf erioed wedi gweld y llais "rheolaidd" hwn o'r blaen. Rwy'n defnyddio Touch ID ym mhobman ;-).
Wel, gwelais hi heddiw yn barod. Ac nid oes TID ar y mini iPad. Dim ond neithiwr cefais e-bost bod rhywun yn ceisio arwyddo i mewn gyda fy ID Apple o Chrome ar Windows. Wrth gwrs, newidiais y cyfrinair yn syth yn y bore. Yn y bore, pan gafodd fy mini iPad di-SIM ar wifi a'r rhyngrwyd, adroddodd ei fod ar goll ac wedi'i gloi, a chefais neges amdano yn fy e-bost. Rwy'n cymryd bod newid y cyfrinair yn datrys popeth, ond dylai pawb fod yn ofalus iawn. Cefais fy synnu fwyaf gan y neges ar arddangosfa'r iPad, gweler y llun. Nid yw hynny'n ymddangos yn eithaf safonol i mi, ac mae'r cyfeiriad e-bost yn dweud y cyfan - mae'n sgam ac roedden nhw eisiau cael fy manylion mewngofnodi.
… gweler y llun. https://uploads.disquscdn.com/images/81787f49f7358d75acc8a8265cc5014288f07bed46bceeca1254da2086501947.png
A pha fath o Ap oedd hwnnw, os caf ofyn?
Diolch ichi.
Nid wyf yn gwybod am unrhyw app, nid wyf yn ymwybodol o unrhyw beth. Rwy'n defnyddio'r iPad ychydig, bron yn un pwrpas, ac mae ei offer o gymwysiadau yn cyfateb i hynny - ychydig o bethau sylfaenol, dim byd arall, yn wag. Ar wahân i'r diweddariad achlysurol (ac nid oes llawer), nid wyf yn gosod unrhyw beth yno mewn gwirionedd, felly dyma'r olaf o'm dyfeisiau lle byddwn yn disgwyl rhywbeth fel hyn.
Ac a oes gennych chi Jailbreak?
Ydw yn sicr, dwi'n fud. Fe wnaethon nhw gymryd eich cyfrinair a rhoi "dyfais goll" ac ysgrifennu neges. Pardwn. Y cwestiwn yw sut y cawsant eich cyfrinair. A oes gennych yr un cyfrinair ar gyfer gwasanaethau lluosog? Mae'n cael ei ollwng ar y Rhyngrwyd (gellir dod o hyd iddo ar y wefan https://haveibeenpwned.com ble ydych chi'n rhoi eich e-bost neu'ch enw defnyddiwr)?
Rwy'n meddwl nad oedd gan y bechgyn mewn golwg pan adawon nhw'r cyfrinair gwreiddiol i chi, er ei fod yn wych i chi, ond dyna maen nhw'n ei alw'n clic.
Ie, mae'n debyg y gallai fod wedi bod. Wrth gwrs mae ganddo gofnod ar y safle hwnnw. Ond rhaid cael pob cyfeiriad e-bost sy'n hŷn na 10 mlynedd. :-)
Nid oes gennyf jailbreak a byth.
Mae yna rai mwy newydd hefyd :-) Y cyfan oedd yn rhaid i chi ei wneud oedd cael LinkedIn a Dropbox ar yr amser anghywir ac mae'n digwydd gyda chi yn barod :-)
Heh, taswn i wedi sgwennu am hyn rhywbryd ar ôl newid i 3GS, pan o'n i'n meddwl am y peth, mi allwn i fod wedi bod yn "enwog"... Na, dyw hanes ddim yn chwarae o gwmpas :-D
Ar y llaw arall, os bydd y ffenestr yn ymddangos ataf ac nad wyf yn ymwybodol y byddwn yn cychwyn rhyngweithio â'r AppStore, rwy'n canslo heb lenwi'r cyfrinair ...
Digwyddodd hyn i mi wrth actifadu fy iPhone. Rwy'n gobeithio ei fod yn ddigon i roi sgip. Dim ond o dan fy e-bost y byddaf yn llenwi'r cyfrinair.