mrchubby
Chuyên viên tin tức
Nếu bạn đang là người dùng các thiết bị chạy iOS, thì hẳn bạn đã quá quen thuộc với những hộp thoại pop-up yêu nhập nhập password cho tài khoản Apple ID. Hộp thoại pop-up này thông thường sẽ xuất hiện trong ứng dụng App Store và iTunes Store, nhưng thi thoảng chúng cũng sẽ hiện lên khi những ứng dụng nêu trên chạy nền.
Một bài viết trên blog đến từ nhà phát triển Felix Krause cho biết cơ chế pop-up này có thể bị lợi dụng để câu thông tin Apple ID và mật khẩu từ người dùng.
Nhà phát triển này giải thích việc tạo ra các hộp thoại pop-up yêu cầu nhập mật khẩu là điều vô cùng dễ dàng từ các ứng dụng. Chỉ cần 30 dòng lệnh chèn vào một ứng dụng trên iOS và chúng hoàn toàn có thể bị bỏ sót bởi đội ngũ xét duyệt ứng dụng App Store của Apple.
“Hiển thị một hộp thoại trông giống cửa sổ pop-up của hệ thống là một điều vô cùng dễ dàng, nó không phải khó khăn hay có gì đó bí mật cả, bởi điều này cũng đã được nêu ví dụ trong Apple docs với một đoạn nội dung được tùy chỉnh."
"Tôi quyết định không công bố đoạn code của hộp thoại pop-up, tuy nhiên đáng chú ý rằng đoạn mã của tôi chỉ có 30 dòng và bất cứ kỹ sư phần mềm iOS nào cũng có thể nhanh chóng viết ra.” - Krause cho hay
Krause cho biết các cửa sổ pop-up chính là vấn đề lớn của Windows trong nhiều năm qua khi chúng bị nhiều website giả mạo lợi dụng để câu thông tin từ phía người dùng, và giờ đây điều tương tự có thể sẽ diễn ra trên cả một hệ điều hành di động như iOS. Anh còn cho biết bản thân đã gửi vấn đề này lên Apple và hy vọng hãng sẽ đưa ra một bản vá, không cho phép các hộp thoại pop-up hỏi password nữa, thay vào đó điều này sẽ chỉ được thực hiện ngay trong Setting app/App Store.
Để tự bảo vệ bản thân, Krause khuyên người dùng như sau:
- Ấn nút Home và xem xét ứng dụng
+ Nếu ứng dụng đóng với một hộp thoại pop-up hiện ra, thì đây chính là hành vi lừa đảo
+ Nếu hộp thoại hiện ra nhưng ứng dụng vẫn không bị đóng, thì đây chính là hộp thoại của hệ thống. Lý do có sự khác nhau này là do hộp thoại hệ thống chạy trên một tiến trình hoàn toàn khác mà không phải là một phần nằm trong ứng dụng iOS.
- Không nên điền thông tin cá nhân vào bất cứ cửa sổ pop-up nào, hãy bỏ qua nó và mở ứng dụng Settings một cách thủ công.
- Nếu bạn ấn nút Cancel trên hộp thoại hiện lên, ứng dụng vẫn sẽ truy cập vào nội dung của trường mật khẩu. Ngay cả khi sau nhập các ký tự đầu tiên của mật khẩu, khi đó ứng dụng có lẽ đã hoàn toàn có mật khẩu của bạn.
Một bài viết trên blog đến từ nhà phát triển Felix Krause cho biết cơ chế pop-up này có thể bị lợi dụng để câu thông tin Apple ID và mật khẩu từ người dùng.
Nhà phát triển này giải thích việc tạo ra các hộp thoại pop-up yêu cầu nhập mật khẩu là điều vô cùng dễ dàng từ các ứng dụng. Chỉ cần 30 dòng lệnh chèn vào một ứng dụng trên iOS và chúng hoàn toàn có thể bị bỏ sót bởi đội ngũ xét duyệt ứng dụng App Store của Apple.
“Hiển thị một hộp thoại trông giống cửa sổ pop-up của hệ thống là một điều vô cùng dễ dàng, nó không phải khó khăn hay có gì đó bí mật cả, bởi điều này cũng đã được nêu ví dụ trong Apple docs với một đoạn nội dung được tùy chỉnh."
"Tôi quyết định không công bố đoạn code của hộp thoại pop-up, tuy nhiên đáng chú ý rằng đoạn mã của tôi chỉ có 30 dòng và bất cứ kỹ sư phần mềm iOS nào cũng có thể nhanh chóng viết ra.” - Krause cho hay
Krause cho biết các cửa sổ pop-up chính là vấn đề lớn của Windows trong nhiều năm qua khi chúng bị nhiều website giả mạo lợi dụng để câu thông tin từ phía người dùng, và giờ đây điều tương tự có thể sẽ diễn ra trên cả một hệ điều hành di động như iOS. Anh còn cho biết bản thân đã gửi vấn đề này lên Apple và hy vọng hãng sẽ đưa ra một bản vá, không cho phép các hộp thoại pop-up hỏi password nữa, thay vào đó điều này sẽ chỉ được thực hiện ngay trong Setting app/App Store.
Để tự bảo vệ bản thân, Krause khuyên người dùng như sau:
- Ấn nút Home và xem xét ứng dụng
+ Nếu ứng dụng đóng với một hộp thoại pop-up hiện ra, thì đây chính là hành vi lừa đảo
+ Nếu hộp thoại hiện ra nhưng ứng dụng vẫn không bị đóng, thì đây chính là hộp thoại của hệ thống. Lý do có sự khác nhau này là do hộp thoại hệ thống chạy trên một tiến trình hoàn toàn khác mà không phải là một phần nằm trong ứng dụng iOS.
- Không nên điền thông tin cá nhân vào bất cứ cửa sổ pop-up nào, hãy bỏ qua nó và mở ứng dụng Settings một cách thủ công.
- Nếu bạn ấn nút Cancel trên hộp thoại hiện lên, ứng dụng vẫn sẽ truy cập vào nội dung của trường mật khẩu. Ngay cả khi sau nhập các ký tự đầu tiên của mật khẩu, khi đó ứng dụng có lẽ đã hoàn toàn có mật khẩu của bạn.
Theo 9to5mac
