Kısa süre önce Felix Krause, sahte pop-up penceleriyle Apple kullanıcı adı ve şifrelerin çalınabileceğini ortaya çıkarmıştı. Anthony Agatiello isimli başka bir yazılımcı ise iOS Phishing hakkında daha fazla araştırma yaptı ve korkunç bir gerçeği daha ortaya çıkardı.
Agatiello'nun açıklamasına göre kötü niyetli bir iOS geliştiricisi kendi kodunu çalıştırarak, kimlik bilgilerine ulaşabiliyor.
Durumu biraz daha açıklarsak, mesela bir kullanıcı iPhone'ununda iTunes şifresini girmesini isteyen pop-up'la (Sistem pop-up görünümlü) karşılaştı. Ancak kullanıcı şifreyi girmek istemedi ve İptal seçeneğine tıkladı diyelim. Bu sefer Ayarlar uygulaması açılıyor ve iCloud kimlik bilgilerinin girilmesi isteniyor. Bu açılan kısım Ayarlar uygulamasının bir parçası olan iCloud giriş ekranı olarak görünüyor. Yani her şey gayet düzgün ve resmi olarak görünüyor. Fakat işin korkunç tarafı bir geliştirici burada "Oturum açma" düğmesine basıldığında kimlik bilgilerinin kendisine gönderilmesini isteyen bir kod çalıştırabilir.
Bu oturum açma istemi iOS cihazlarda bulunan özel bir kısma dahildir. İki farklı yöntem sayesinde kod yüklenebiliyor ve Apple'ın özel API'leri tarafından tespit edilmesi engellenebiliyor.
Aslında bu önemli güvenlik zafiyeti Apple tarafından kolaylıkla düzeltilebilir. Bunun dışında kullanıcıların kendilerince alabilecekleri önlemler var.
-İki faktörlü kimlik doğrulamayı mutlaka kullanın.
-Home tuşuna iki kere basarak açık olan uygulamaların olduğu çoklu pencere ekranına bakın ve hangi uygulamanın şifrenizi istediğini görün. Üçüncü parti bir uygulama olmadığından emin olun.
-Apple kimlik bilgisini yalnızca dahili Ayarlar uygulaması içine veya diğer uygulamalar tarafından gösterilmeyen gerçek sistem pop-up'larına girmelisiniz.
Daha önce belirttiğim gibi bu açık Apple tarafından kolaylıkla düzeltilebilir, ancak problem yok olsa bile uyarılar halen kötü niyetli şekilde kullanılabilir. Bu yüzden sistem uyarıları ve geliştiricilerin uygulamaları arasında belirli bir fark olmalı. Eğer bu fark olmazsa birbirlerinden ayırtedilemezler. Apple bu konu hakkında şimdilik açıklama yapmadı.
Kaynak: Hasan Uğur Nayır / TeknoKulis