Zo makkelijk steelt iemand je Apple ID-wachtwoord (en zo ga je het tegen)
Lees verder na de advertentie
Zou jij je wachtwoord van je Apple ID zonder aarzeling invoeren in bovenstaande pop-ups? Waarschijnlijk wel. We vullen hem zo vaak – en in zoveel hoedanigheden – in, dat we hem bijna automatisch invullen. Makers van apps kunnen hier misbruik van maken en je Apple ID-wachtwoord stelen, waarschuwt Felix Krause.
Apple ID-wachtwoord stelen
In een blogpost laat ontwikkelaar Krause zien hoe eenvoudig het is om een Apple ID-wachtwoord te ontfutselen. Hij bouwde in een app een nep pop-up in, die je rechts van bovenstaande screenshot ziet. En je ziet het: hij is haast identiek aan de officiële pop-up van Apple (links op de afbeelding).
‘Wil je het Apple ID-achtwoord van een gebruiker hebben? Vraag het gewoon beleefd aan ze’, stelt Krause in zijn blog. ‘Grote kans dat ze het intikken, want ze zijn er goed op getraind.’
Daar heeft Krause een punt, want dit soort pop-ups duiken regelmatig op bij een iPhone of iPad. Meestal verschijnen ze in de App Store of in iTunes. Maar soms komen ze ook uit het niets opspringen, zoals tijdens de installatie van een app. En altijd vullen we hem zonder enige aarzeling in.
De neppe pop-up van Krause kostte minder dan 30 regels code en kan schijnbaar worden toegelaten in een legitieme iOS-app. Volgens de ontwikkelaar kan dit door Apple opgelost worden door een einde te maken aan de Apple ID pop-ups en gebruikers altijd naar de Instellingen-app te verwijzen.
… en zo ga je het tegen
Krause beschrijft in zijn blogpost wat we kunnen doen om een phishing-aanval als deze te voorkomen.
Twijfel je aan de echtheid van een pop-up? Druk dan op de thuisknop. Als de app en de pop-up samen sluiten, gaat het om een phishing-aanval. Blijven de pop-up en app zichtbaar, gaat het volgens Krause om een legitieme pop-up van Apple. Dit komt doordat de pop-up van Apple niet onderdeel is van een iOS-app, maar op een ander proces draait.
Daarnaast is het verstandig om een Apple ID-wachtwoord nooit in een pop-up in te voeren. Druk in plaats daarvan op ‘Annuleer’ en voer het wachtwoord in via de Instellingen-app.
En touch iD?..
Touch ID is heel veilig, dus het is verstandig om daar zoveel mogelijk mee in te loggen. Ontwikkelaars van apps krijgen je vingerafdruk nooit in handen. Daar zorgt Secure Enclave voor, een chip die de gegevens van je vingerafdruk beveiligt met een sleutel. Deze sleutel is alleen voor Secure Enclave beschikbaar; apps en hackers kunnen de gegevens van je vingerafdruk daardoor nooit opvragen.