Şifreyi ele geçirmenin en kolay yolu: istemek

Bir iPhone kullanıcısının Apple ID şifresini almak istiyorsanız tek yapmanız gereken şey kendisine kibarca sormak. Çünkü Apple, kullanıcılarını ekranda çıkan uyarılara şifrelerini girmeleri konusunda eğitti. Aynı soruyu Apple yerine herhangi bir iOS uygulaması soracak olursa kullanıcılar büyük ihtimalle şifrelerini sorgusuz sualsiz girecektir.

Felix Krause tarafından bir kavram kanıtı olarak gerçekleştirilen bu işlemde, herhangi bir uygulama geliştiricisinin Apple’ın pop-up ekranlarını taklit ederek kullanıcılardan şifre istemesinin ne kadar kolay olduğu gösteriliyor.

iOS kullanıcıları şifre girmeye alıştırdı

iOS kullanıcılardan, sistem güncellemesi ya da yükleme sırasında takılan uygulamalar için sık sık şifre istiyor. Bunun neticesinde kullanıcılar artık şifre isteyen bu uyarıya aşina olmuş durumda ve ekranda bu uyarıyı gördüklerinde refleks olarak şifrelerini giriyorlar. Uyarı ekranında sadece “Devam etmek için şifrenizi girin” yazıyor olması, kullanıcıların tam olarak ne amaçla kullanıldığını sorgulamadan şifre girmelerine sebep oluyor.

Üstelik bu uyarı sadece kilit ekranında ya da Apple’ın Ayarlar uygulamasında değil, telefonu kullanırken Game Center’a ulaşmak isteyen ya da uygulama içi satın almalar sunan herhangi bir uygulamanın ekranında da karşınıza çıkabilir. Bu yüzden, alakasız bir uygulamanın sizden Apple ID istemesi alışılmadık bir durum değil. Bu sayede uygulamalar, sıradan bir bildirim gösterir gibi sizden şifrenizi talep edebilir.

Nasıl korunuruz?

Teknoloji hakkında bilgili olan kullanıcılar bile bu kimlik avına hazırlıksız yakalanabilir. Böyle bir saldırıdan korunmak için yapmanız gerekenler şunlar:

1. ‘Home’ tuşuna basın
   • Uygulama ve dialog ekranı kapanırsa bu bir kimlik avı saldırısıdır.
   • Diyalog ve uygulama ekranda kalmaya devam ederse bu bir sistem diyaloğu demektir. Yani şifrenizi isteyen uygulama değil Apple, o yüzden güvenle şifrenizi girebilirsiniz.
2. Şifrenizi karşınıza çıkan ekrandan girmek zorunda değilsiniz. Ayarlar uygulamasını açarak şifreyi oradan da girebilirsiniz. Ayarlar uygulaması Apple tarafından kontrol edildiğinden burası Apple ID şifrenizi girmek için en güvenli yer.
3. Diyalog ekranına şifrenizi girdikten sonra ‘İptal et’ butonuna bassanız bile şifreniz büyük ihtimalle karşı tarafa ulaşmıştır. O yüzden gerekli kontrolleri yapmadan şifrenizi yazmayın.

Uygulama geliştiricisinin böyle bir uyarı göstermek için sizin e-posta adresinizi bilmesine bile gerek yok. Apple geliştiricilere, uyarılarda kullanıcı e-postasını kullanma imkanı veriyor.

Yapılması gerekenler

Modern web tarayıcıları bu tarz saldırılara karşı oldukça başarılı bir koruma sağlıyor. Mobil uygulamalarda kimlik avı oldukça yeni bir konsept olduğu için henüz bu alanda yeterli koruma çalışması yapılmış değil.

Apple, şifreyi uyarı ekranında istemek yerine kullanıcıyı Ayarlar uygulamasına yönlendirebilir. Böylece şifreyi sadece Ayarlar uygulamasına girmiş oluruz.

Apple, kullanıcılara sık sık şifre sorulmasına sebep olan sorunu hallederek, şifre girmeyi standart bir uygulama olmaktan çıkarabilir. Böylece şifresi sorulan kullanıcılar bir değişiklik olduğunun farkına varabilir.

Uygulamaların gösterdiği uyarı ekranlarında hangi uygulamanın talepte bulunduğu gösterilebilir. Bir köşesinde Ayarlar, iTunes ya da App Store ikonu bulunmayan uygulamalara şifre girilmemesi sağlanabilir.

Apple bazen kullanıcılarından Ayarlar uygulamasına girip şifrelerini yazmalarını talep ediyor. Bu bildirim, diğer yönteme göre çok daha sağlıklı.

Kaynak: Krausefx