Cette nouvelle “icône vie privée” dans iOS 11.3 ne fait rien pour éviter le phishing de mot de passe

0
196

Zero

(Image: ZDNet)

utilisateurs iPhone ou iPad, si vous mettez à jour vers iOS 11.3 maintenant, vous aurez de nouvelles fonctionnalités et un tas de mises à jour de sécurité. Mais vous serez toujours aussi vulnérables à l’appareil d’attaques de phishing que vous ne le furent jamais.

Un long devrait icône vie privée a fait son entrée dans le logiciel de mise à jour de jeudi qui aident les utilisateurs à identifier quand Apple demande plus de leurs renseignements personnels. La mise à jour ne modifie pas la quantité de données Apple collecte, mais il permet de montrer ce que les données seront recueillies lors de l’Apple applications et fonctionnalités sont utilisés pour la première fois.

“Vous ne voyez pas cette icône avec toutes les fonctionnalités depuis qu’Apple ne recueille cette information lorsque cela est nécessaire pour activer les fonctionnalités, afin de sécuriser nos services, ou pour personnaliser votre expérience,” un écran dit, une fois que vous mettez à jour.

Peut-être que le moment est une coïncidence, mais cela semble être un moyen pour récupérer quelques bons titres de journaux au milieu de Facebook récente de partage des données de la controverse.

Va Strafach, un chercheur en sécurité avec un focus sur le mobile, sait iOS mieux que la plupart. Il a dit à ZDNet que l’icône vie privée ont certains avantages.

“Bien que le but a été interprété comme une sorte d’indicateur — il ne l’est pas, le réel but de donner des informations sur la façon dont les données utilisé est une très bonne chose, je crois,” dit-il. “Beaucoup de gens ces jours-ci s’interroger sur la façon dont leurs données sont utilisées et ont juste pas d’idée, donc si Apple va demander quelque chose de sensible, il semble très utile de donner à l’utilisateur des informations sur la gestion des données — et les utilisateurs peuvent ensuite les tenir à elle au lieu d’être ambigu.”

L’inconvénient est que, contrairement à plusieurs rapports, l’icône de confidentialité en fait n’a rien à voir avec la prévention des attaques de phishing qui tentent de voler votre mot de passe iCloud. Pour sa part, Apple ne l’a jamais confirmé que l’icône vie privée ferait quelque chose de la sorte.

Nous sommes arrivés à Apple, mais un porte-parole ne serait pas de commentaire sur l’enregistrement.

Bien que les attaques de phishing sur le bureau ont été autour depuis des années, ils sont moins ciblées à l’appareil. Et plus largement célébré pour leur sécurité que les iPhones et les iPads sont, du périphérique le maillon le plus faible est souvent une conséquence de tromper l’utilisateur moyen en retournant leur mot de passe.

Apple nouvelle icône de confidentialité. (Image: ZDNet)

C’est un problème qu’Apple ne semble pas vouloir s’attaquer à — en dépit d’une éruption de l’attention plus tôt cette année, lorsque Felix Krause démontré dans un billet de blog comment il était facile de tromper un iPhone ou d’iPad en retournant leur IDENTIFIANT Apple des informations d’identification.

Dans une preuve de concept, il a dit que les utilisateurs sont “formés à il suffit d’entrer” leur adresse e-mail et le mot de passe “à chaque fois que iOS vous invite à le faire.” À long terme pour l’iPhone ou l’iPad, l’utilisateur peux vous dire que leur téléphone ou de la tablette, de façon aléatoire, invite de mot de passe, mais souvent on ne sait pas pourquoi. Et c’est quelque chose que les attaquants sont désireux de capitaliser sur.

Un rapport intitulé l’attaque d’un hacker “du rêve.”

“Afficher une boite de dialogue qui ressemble à un système de pop-up est super facile. Il n’y a pas de magie ou d’un code secret impliqués. C’est littéralement les exemples fournis dans l’Apple docs, avec un texte personnalisé,” dit Krause.

Il l’a décrite comme “moins de 30 lignes de code” que tous les iOS ingénieur savoir.

Même avec l’authentification à deux facteurs, les utilisateurs ne sont pas nécessairement sans danger, dit Krause. Si vous voulait infliger des dégâts, vous avez seulement besoin d’un utilisateur Apple ID, adresse de courriel et le mot de passe pour essuyer une personne de l’appareil sans avertissement.

Apple dit dans un post d’un développeur qu’il est difficile de lutter contre le phishing-ou l’ingénierie sociale comme il est souvent appelé.

D’autres disent qu’il n’est pas difficile.

“Je voudrais voir les demandes de mots de passe comme une bannière d’alerte ou notification envoyée par l’application des Paramètres, ce qui devrait envoyer à l’utilisateur de l’application des Paramètres lorsque pressé afin d’entrer leurs informations d’identification”, a déclaré Strafach.

“Pas d’icône ou de toute autre chose est suffisant, car l’application en cours d’exécution est en mesure de jouer avec tous les éléments de l’interface utilisateur, y compris la barre de statut,” il a dit. “En utilisant une alerte, et les rediriger vers les Paramètres permettrait de résoudre complètement le problème.”

C’est une solution simple qui Krause-et d’autres-ont déjà suggéré. Mais Apple ne fera pas de concessions, et de ses clients demeurent à risque.

Contactez-moi en toute sécurité

Zack Whittaker, qui peut être atteint de manière sécurisée sur le Signal et WhatsApp à 646-755-8849, et son PGP fingerprint pour email est: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

Lire Plus

ZDNET ENQUÊTES

Actions en justice menacent l’infosec de recherche — juste au moment où nous en ont le plus besoin

La NSA Ragtime programme cible les Américains, les fuites d’afficher les fichiers

Fuite de la TSA, les documents révèlent aéroport New-yorkais de la vague de défaillances de sécurité

Le gouvernement AMÉRICAIN a poussé entreprises de haute technologie à la main sur le code source

Des Millions de client de Verizon dossiers exposés dans la sécurité lapse

Répondre à l’ombre tech courtiers qui offrent vos données à la NSA

À l’intérieur de la terreur mondiale de la liste de surveillance qui secrètement les ombres des millions

FCC président voté pour vendre votre historique de navigation — nous avons donc demandé à voir son

198 millions d’Américains touchés par ‘plus jamais’ électeur dossiers de fuite

La grande-bretagne a passé le plus extrême de surveillance de la loi jamais passé dans une démocratie”

Microsoft dit “aucun connu ransomware’ fonctionne sur Windows 10 S — nous avons donc essayé de le pirater

Document confidentiel révèle royaume-UNI, les plans pour la plus large de la surveillance d’internet

Rubriques Connexes:

Apple

De sécurité de la TÉLÉVISION

La Gestion Des Données

CXO

Les Centres De Données

0