Afgelopen weekend moest ik een recept opzoeken, omdat ik een portie inktvis wilde koken voordat die zou bederven. Ik ben Italiaan en dus opende ik mijn vertrouwde Italiaanse kook-app Giallo Zafferano op mijn iPhone. Zonder enige reden verscheen er een pop-upschermpje waarin werd gevraagd om mijn Apple ID-wachtwoord.



Een screenshot van mijn iPhone die mij willekeurig om mijn Apple ID-wachtwoord vraagt

Ik voelde me paranoïde en klikte het weg. Maar ik dacht ook: dit is slecht, er zou niet op willekeurige momenten aan gebruikers gevraagd moeten worden om een van hun meest gevoelige, belangrijke wachtwoorden in te voeren.

iOS-ontwikkelaar Felix Krause ontdekte dat het werkelijk ongelooflijk makkelijk is om dit pop-upschermpje na te maken, zodat het kinderlijk eenvoudig wordt om gebruikers ertoe te verleiden om hun wachtwoorden weg te geven.

“Het zijn letterlijk minder dan dertig regels code,” zegt Krause, tevens oprichter van Fastlane, een tool waarmee ontwikkelaars apps maken, tegen Motherboard in een privébericht op Twitter.

In een uitgebreide blog op dinsdag waarschuwde Krause hoe gemakkelijk het is om de pop-up na te maken, en dat gebruikers er waarschijnlijk zullen intrappen omdat ze al jarenlang gewend zijn om hun Apple ID-wachtwoord op schijnbaar willekeurige momenten in te voeren. Er is geen bewijs dat kwaadaardige hackers of ontwikkelaars deze truc ooit gebruikt hebben, maar niemand weet het echt. Hier is een vergelijking tussen een legitieme, echte pop-up en een schadelijke, gemaakt door Krause voor demonstratiedoeleinden.

Een vergelijking tussen een echte en een nep-pop-up

Er is voor de gebruiker geen duidelijke manier om te onderscheiden welke echt is.

“Het is zorgwekkend dat een overtuigend schermpje genoeg is,” tweette Will Strafach, een bekende iOS-hacker en ontwikkelaar.

Als je een van deze pop-ups ziet en je achterdochtig bent, is de suggestie van Krause dat je op de homeknop drukt. Als het scherm verscheen nadat je een app opende, en toen je op de homeknop drukte de app afsloot en de pop-up verdween, dan was het een phishing-aanval. Als het schermpje en de app niet verdwijnen, dan is het legitiem.

Krause zegt dat gebruikers deze schermpjes altijd zouden moeten negeren en in plaats daarvan naar de Instellingen zouden moeten gaan om daar het wachtwoord in te voeren. “Apple zou deze pop-upschermen moeten verwijderen en de gebruikers moeten dwingen om naar de Instellingen te gaan,” zegt Krause. Dat zou elk risico op misbruik wegnemen.

“Sluit altijd de pop-up, open de iCloud-instellingen handmatig en voer je wachtwoord alleen daar in,” zegt Krause.

Het is mogelijk dat een app die een kwaadaardige wachtwoordpop-up met zich meebrengt betrapt wordt door Apple, maar Krause waarschuwt dat er manieren zijn om dat te ontwijken.

“Het is vrij makkelijk om bepaalde regels code uit te voeren nadat de app is goedgekeurd,” zegt hij, waarna hij een aantal verschillende manieren beschrijft waarop ontwikkelaars een schermpje zoals deze kunnen laten verschijnen in hun app. De App Store is over het algemeen erg goed in het weren van malware, maar de onderzoeker zegt dat het maken van een “system dialogue” erg gebruikelijk is bij iOS-programmering. “Een dialogue weergeven die er net zo uitziet als een systeempop-up is supermakkelijk, er komt geen magie of geheime code aan te pas. Het zijn letterlijk de voorbeelden die in de Apple handleiding staan, met een aangepaste tekst.”

“Hoewel het beoordelingsproces een basisveiligheidsfilter biedt, zullen mensen met kwade bedoelingen altijd een manier vinden om de grenzen van een platform te omzeilen,” voegt hij eraan toe.

In elk geval wordt het risico dat je gephisht wordt aanzienlijk kleiner als je tweestapsverificatie op je Apple ID aanzet.

Apple reageerde niet op een verzoek om commentaar.