|
|
|
|
Strumenti |
11-10-2017, 17:01 | #1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75175
|
Link alla notizia: http://www.hwupgrade.it/news/apple/o...ord_71674.html
Uno sviluppatore ha mostrato un attacco di phishing possibile su iOS che può depredare la password iCloud degli utenti. Meglio stare attenti Click sul link per visualizzare la notizia. |
11-10-2017, 17:07 | #2 |
Senior Member
Iscritto dal: Apr 2014
Città: Ivrea (TO)
Messaggi: 1127
|
da sviluppatore Apple confermo che quello è un normale UIAlert con lo stesso testo di quello di Apple, basta inserirlo nell'app e chiamare un web service quando l'utente ha premuto su ok...
Il problema è come farlo arrivare all'utente finale, se l'app passa dallo store e dentro trovano un popup simile la bocciano all'istante...e bocciano per molto molto meno Se invece si vuole oltrepassare lo store bisogna mettere in piedi un account Enterprise e convincere l'utente ad installare l'app malevola tramite una pagina web apposita, ma la licenza enterprise non viene rilasciata a privati, bisogna registrarsi con partita IVA, D.U.N.S number e passare la verifica telefonica da parte di Apple. Una volta installata poi per avviarla è necessario autorizzarla dalle impostazioni...
__________________
Cooler Master 690|Asus Prime X299-Deluxe|Intel Core i7 7800x skt 2066|KFA2 GeForce RTX 3060ti|16GB Corsair Vengeance RGB DDR4 3200|Noctua NH-U12P|Corsair HX850i
|
11-10-2017, 17:16 | #3 | |
Senior Member
Iscritto dal: Jul 2002
Città: Milano
Messaggi: 19101
|
Quote:
io ho tutte le mie app aggiornabili con chiamate rest, per me sarebbe un attimo mandare in approvazione un'app con un comportamento e modificarla da remoto una volta su store certo, una volta segnalata verrebbe eliminata e probabilmente sospenderebbero pure l'account, ma intanto avrei raggiunto il mio scopo il problema è che quei popup compaiono un po' troppo spesso e in modo non predicibile, quindi l'utente è abituato a vedere la alert e mettere la password, a furia di farlo diventa una cosa automatica e non ti accorgi di essere dentro un app e non nella springboard Apple non può risolvere cambiando semplicemente il modo in cui presenta l'informazione, perché copiare una view custom sarebbe facile tanto quanto richiamare una UIAlertView secondo me Apple non dovrebbe più chiedere la password in quel modo, ma se proprio ha bisogno delle credenziali icloud dovrebbe riportare l'utente dentro l'app impostazioni, farle inserire lì e consentire di tornare all'app precedente con il link in alto a sinistra, cosa che già fa |
|
11-10-2017, 17:22 | #4 | |
Senior Member
Iscritto dal: Apr 2014
Città: Ivrea (TO)
Messaggi: 1127
|
Quote:
Nel frattempo bisogna vedere quanti utenti hanno scaricato un'app sconosciuta...a meno che non anneghi il messaggio dentro l'app realizzata con l'idea del secolo Che poi è lo stesso discoro di avere una finta pagina che chiede il numero VISA sul sito Microsoft o sul primo sito porno trovato in giro, sul sito ms viene inserito, sul secondo no... IMHO Apple per quel messaggio non dovrebbe usare l'alert standard ma un alert custom accessibile tramite api private...
__________________
Cooler Master 690|Asus Prime X299-Deluxe|Intel Core i7 7800x skt 2066|KFA2 GeForce RTX 3060ti|16GB Corsair Vengeance RGB DDR4 3200|Noctua NH-U12P|Corsair HX850i
|
|
11-10-2017, 18:00 | #5 | |
Senior Member
Iscritto dal: Oct 2001
Messaggi: 14720
|
Quote:
In teoria non hai neppure bisogno di farlo da remoto, basterebbe un tema "nascosto" che magari si attiva da solo dopo diversi mesi e modifica quel che serve dell'aspetto dell'applicazione. Il problema dell'alert custom è che può sempre essere riprodotto, occorre qualcosa di diverso, per esempio un cambiamento in una zona non accessibile dalle applicazioni (che so, la barra delle notifiche che si colora di rosso, dei led del telefono a cui ha accesso solo il sistema, o qualcosa del genere). |
|
12-10-2017, 07:01 | #6 | |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 4763
|
Quote:
Fai questo giochetto a periodi, in cui ripristini alternativamente il funzionamento fraudolento e quello normale .... A quel punto penso sia molto difficile anche solo capire se l'applicazione ha avuto comportamenti anomali ... Ma da ignorante è quello che farei se quello fosse il mio obbiettivo ^^
__________________
BattleTag: Apocalysse#2729 CMDR: Apocalysse |
|
12-10-2017, 07:40 | #7 |
Senior Member
Iscritto dal: Feb 2006
Messaggi: 1840
|
Come proposto dal ricercatore, Apple dovrebbe invitare l'utente ad aprire l'app impostazioni e digitare la password lì.
Comunque, io credo e spero che una grandissima fetta di utenti abbia ormai l'autenticazione a due fattori: alla fine iOS ultimamente è stato molto invasivo nel richiedere tale configurazione. Ho visto anche gente non esperta avere l'autenticazione a due fattori abilitata. |
12-10-2017, 07:45 | #8 | |
Senior Member
Iscritto dal: Jul 2002
Città: Milano
Messaggi: 19101
|
Quote:
una volta una mia app B2B (quindi non va nemmeno su store pubblico) mi è stata rifiutata per un messaggio a loro dire "fuorviante" (ma richiesto dal cliente) risultato? ho mandato app in approvazione cambiando il testo e una volta distribuita ho rimesso il mio messaggio di prima, fine del problema avrei potuto fare altrettanto con una popup che chiedeva la password |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:04.