Salah satu kelemahan iOS adalah popups yang aktif secara reguler namun tampil acak. Popup ini mengharuskan pengguna memasukkan ID Apple mereka sebelum dapat menginstal atau memperbarui aplikasi atau menyelesaikan tugas biasa lainnya. Petunjuknya telah berkembang begitu umum sehingga kebanyakan orang tidak berpikir dua kali mengenai popup ini.
Pengembang aplikasi mobile Felix Krause membuat kasus yang menarik bahwa popup ini merupakan lubang keamanan potensial yang dapat dimanfaatkan hacker untuk mencuri informasi pribadi pengguna. Dalam sebuah posting blognya, Krause menunjukkan perbandingan popup berdampingan, digambarkan di atas, dari popup resmi milik iOS dan sebuah popup phishing proof-of-concept. Popup abal-abal memerlukan kurang dari 30 baris kode dan dapat disembunyikan dibalik aplikasi resmi yang telah terdaftar di App Store Apple.
Popup adalah bagian umum dari pengalaman menggunakan iOS. Popup dapat aktif kapanpun, termasuk saat pengguna ingin melakukan pembelian dalam aplikasi, memasang pembaruan iOS, atau saat aplikasi yang dipasang error. Akar masalahnya adalah banyak permintaan kata sandi resmi dari Apple bentuknya tidak berbeda dari yang dihasilkan oleh aplikasi. Sebagian besar pengguna merespons dengan membabi buta dengan mempercayai mengisikan kata sandinya di popup tersebut.
Krause mencatat bahwa beberapa petunjuk yang dihasilkan oleh iOS terlihat seperti yang ada di gambar sebelah kanan. UI ini bisa menjadi model untuk semua permintaan kata kunci yang dihasilkan oleh sistem. Krause menyarankan agar Apple membuat tampilan yang seragam untuk password iOS resmi yang tidak dapat dengan mudah ditiru oleh aplikasi.
Sementara itu, pengguna iOS dapat melindungi diri mereka sendiri dengan melakukan hal berikut saat mereka menemukan popup kata sandi yakni dengan menekan tombol home. Jika apl dan kata kunci meminta ditutup, permintaan itu mungkin merupakan upaya phishing. Jika dialog dan aplikasi tetap terlihat, dialog dihasilkan oleh iOS. Krause juga menyarankan agar tidak memasukkan kata sandi ke dalam kotak dialog apapun. Sebagai gantinya, kita harus menutupnya, buka secara manual jendela pengaturan iOS, dan masukkan kata sandi di sana.
Tentu saja, pengguna harus menggunakan autentikasi dua faktor Apple, yang mengharuskan pengguna memasukkan nomor verifikasi selain menyediakan kata sandi. Perlindungannya layak pakai, tapi bisa dipalsukan dengan cara yang sama seperti kata sandi. Oleh karena itu, otentifikasi dua faktor tidak boleh dipandang sebagai solusi untuk masalah yang telah disoroti oleh Krause. Krause juga mengatakan bahwa proses penyetelan Apple - yang dirancang untuk mencegah penyerang memasukkan aplikasi berbahaya ke App Store - bukanlah solusi yang memadai karena hacker selalu dapat menemukan cara untuk mengelabuinya.
Posts
No comments:
Post a Comment