De makkelijkste manier om een wachtwoord in handen te krijgen van een Apple ID dat niet van jou is? Gewoon even vragen.
Lees verder na de advertentie.
Steun iPhoned
Je gebruikt een adblocker. Dat vinden we jammer, want advertenties hebben we nodig om onze artikelen gratis aan te bieden. Steun iPhoned door ons aan je whitelist toe te voegen. Alvast bedankt!
Apple ID-wachtwoord stelen
Althans, dat schrijft ontwikkelaar Felix Krause op zijn website. “Vraag gebruikers vriendelijk om hun wachtwoord en waarschijnlijk zullen ze het geven”, stelt hij. “Ze zijn daar namelijk voor getraind.”
Krause laat zien hoe gemakkelijk het is in enkele screenshots. Aan de linkerkant een officiële manier van Apple om het wachtwoord te vragen van gebruikers, rechts een manier waarop een kwaadwillende dat in een app kan doen. Het verschil is onzichtbaar en juist daarom denkt Krause dat veel mensen hun wachtwoord zonder argwaan zouden intypen. Met alle gevolgen van dien.
Simpele phishing-methode
Apple vraagt gebruikers regelmatig om wachtwoorden. Dat kan allerlei redenen hebben, bijvoorbeeld als een iOS-app tijdens de installatie blijft hangen. Juist omdat Apple het zo vaak en in verschillende hoedanigheden kan vragen, is deze ‘loophole’ gevaarlijk, stelt Krause. Een ontwikkelaar kan zo’n popup zomaar inbouwen in een app en er met je gegevens vandoor gaan.
Het is niet bekend hoe vaak het gebeurt dat mensen daadwerkelijk op deze manier voor de gek worden gehouden. Krause wil met zijn bericht bewustzijn creĂ«ren dat deze manier van informatie stelen heel simpel is en nog niet is aangepakt. “Ik ga de code niet delen, maar het was enorm gemakkelijk om deze popup van Apple na te maken”, schrijft hij. “Dit is enkel een proof of concept, phishing-aanvallen zijn illegaal. Gebruik dit dus niet in je app.”
Steun iPhoned
Je gebruikt een adblocker. Dat vinden we jammer, want advertenties hebben we nodig om onze artikelen gratis aan te bieden. Steun iPhoned door ons aan je whitelist toe te voegen. Alvast bedankt!
Dit kun je doen
Er zijn een aantal manieren om jezelf tegen deze vorm van phishing te wapenen. Als het venster verschijnt en je drukt op de homeknop, dan moeten de app en de popup niet verdwijnen. Gebeurt dat toch, dan is het phishing. Daarnaast is het volgens Krause altijd verstandiger om je wachtwoord handmatig in te voeren via de Instellingen-app van iOS. Verder krijgt de app ook toegang tot het wachtwoordveld als je op de annuleren-knop drukt. “Zelfs na het invoeren van de eerste paar tekens, heeft de app waarschijnlijk je wachtwoord al.”
Krause stelt voor dat Apple het probleem oplost door gebruikers altijd naar de Instellingen-app te verwijzen, in plaats van het wachtwoord direct in een venster in te voeren. Ook zou het systeem niet steeds om wachtwoorden moeten vragen, schrijft de ontwikkelaar.
Lees het laatste nieuws over Apple
Steun iPhoned
Je gebruikt een adblocker. Dat vinden we jammer, want advertenties hebben we nodig om onze artikelen gratis aan te bieden. Steun iPhoned door ons aan je whitelist toe te voegen. Alvast bedankt!