A fenti képen látható felugró ablakot minden iPhone tulajdonos ismeri. Alkalmazások vagy egyéb tartalmak vásárlásánál meg kell adni az Apple ID-hez a jelszót. Felix Krause, fejlesztő azonban arra hívja fel a figyelmet blogbejegyzésében, hogy ez a rendszerablak bizony nem túl biztonságos.
No, nem azért, mert a beírt adat könnyen kinyerhető belőle, hanem azért, mert nagyon egyszerű létrehozni a pontos mását. Márpedig mi sem könnyebb adatot úgy megszerezni, hogy az adathalász elkéri, a felhasználó pedig megadja.
Krause szerint, hihetetlenül könnyű egy iOS alkalmazásfejlesztő számára reprodukálni ezt az Apple ID jelszókérő ablakot. Mindösszesen 30 sornyi kódból létrehozható. Még csak trükköt vagy ügyességet sem igényel, ugyanis az Apple rendszerüzenete a fejlesztőknek szánt dokumentumokban példaként szerepel. Innentől pedig elég egy bármilyen egyébként hiteles alkalmazás, ami elküldi a felugró ablakot, és a felhasználó teljesen gyanútlanul és önként kiadja a jelszavát egy illetéktelennek.
Egyébként ugyanezen az elven működnek azok a malware-ek és illegitim weboldalak, amik az asztali számítógépen a böngészőkben küldenek felugró üzeneteket rendszerüzenetnek álcázva, és ezzel megtévesztve a felhasználókat. Krause már jelentette az Apple-nek a problémát és megoldásként azt javasolta, hogy ne engedélyezzék harmadik felek által küldött popup ablakokba jelszó beírását a felhasználóknak a saját védelmük érdekében, csak a Beállításokban, vagy az App Store-nak.
A fiatal fejlesztő azt is jó módszernek tartja, hogy a felhasználók addig is megbizonyosodnak róla, a Home gombot megnyomva, bezáródik-e az alkalmazás. Ha az alkalmazás bezárásával a párbeszéd ablak is bezáródik, akkor az spyware. Ha viszont a párbeszéd ablak és az app még láthatók, akkor az valóban rendszerüzenet. Az utóbbinak az oka, hogy a rendszerüzenetek külön futnak és nem részei a gyári iOS alkalmazásoknak.
Az is megoldást jelenthet, ha a jelszót a felhasználó a Beállításokban rögzíti a pop up ablakok helyett. Ez nagyjából olyan, mintha egy e-mailben kapott link lenyitása helyett, inkább a böngészőbe begépeljük az adott webcímet.
Illetve magyar nyelvűre állított készüléknél az is beszédes lehet, ha például a párbeszédablak angolul kéri az Apple ID-t.
Szóval, kedves iPhone vagy iPad felhasználók, ide is eljutottunk: immár az iOS-ben is érdemes körültekintően megadni a jelszót.