Als je regelmatig e-mail leest op je iPhone of iPad is het oppassen geblazen. Een bug in iOS Mail kan geloofwaardige pop-ups laten zien, die je wachtwoord proberen te achterhalen.
Pop-up in iOS Mail
Terwijl je een mail aan het lezen bent, kan er ineens een venster op je iDevice verschijnen waarin gevraagd wordt om opnieuw met iCloud (of iets anders) in te loggen. Dit ziet er geloofwaardig uit, zeker omdat het dus op het eerst gezicht niets te maken heeft met de mail die je zojuist opende. In onderstaande video zie je de bug in actie.
Klacht ingediend, maar geen reactie
Beveiligingsonderzoeker Jan Soucek ontdekte de bug al in iOS 8.1.1 maar hoorde niets van Apple toen hij een klacht indiende. Vijf maanden later zijn we bij iOS 8.3 en is het nog steeds akelig stil aan de kant van Apple. Daarom maakt Soucek de code van de bug publiekelijk, om er aandacht voor te vragen.
Een nobel einddoel dus, maar dat betekent wel dat de bug nu een stuk toegankelijker is voor mensen om te misbruiken. Bovendien is het nog niet duidelijk of en wanneer Apple met een oplossing komt. Wees dus extra alert voor alle pop-ups die verschijnen tijdens het lezen van mail op je iPhone of iPad.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
iOS
iOS is het besturingssysteem van de iPhone. iOS regelt alles wat er op je iPhone gebeurt: van de apps tot aan de functies van je iPhone en de verbindingen met Bluetooth, wifi en mobiele netwerken. Voor iOS brengt Apple regelmatig nieuwe gratis updates uit. Dit kunnen zowel hele grote updates met nieuwe functies zijn als kleine updates met bugfixes en verbeterde beveiliging. Lees hier meer over de huidige iOS-versie. Voor de iPad heeft Apple het besturingssysteem iPadOS, met grotendeels dezelfde functies.
Maar is dat het echte venster waarvan dan de gegevens worden doorgestuurd of eentje die wordt gemaakt met HTML?
Ik heb een vergelijkbare popup die ik wel eens krijg, maar dan namens de app store en die krijg ik gwn op mn homescreen…?
Bedankt voor de waarschuwing. Is dit ook bij een Mac?
Normaal staat het iCloud adres toch readonly / reeds ingevuld in een vergelijkbare pop-up, zodat je enkel je wachtwoord kan ingeven. AppleID kan je toch niet zomaar veranderen, tenzij bij store instellingen op de iPhone?
En normaal wordt nu toch TouchID gebruikt ook om een wachtwoord te weten, dus moet je het eigenlijk nooit meer invullen tenzij je de iPhone herstart..
@Marc: Nee, die negeren de “meta http-equiv= refresh” netjes alleen mail op iOS nergeert dit niet, best kans dat als je een ander e-mail programma gebruikt dan de standaard mail dat dit geintje niet werkt.
Dat is normaalgezien gewoon omdat je juist een app hebt gedownload en terug naar home bent gegaan of eender welke handeling in de appstore.
Maar wat als je wèl je wachtwoord ingevuld zounhwbben?
Zo snel mogelijk je wachtwoord wijzigen!
Dank voor de waarschuwing. Ziet er uit als een listig instinkertje, omdat het zo lijkt op Apple of Exchange vragen naar resp. apparaat-pin en wachtwoord. Of zouden dat ook al Trojans zijn geweest…. *SLIK*
De meeste phishing berichten trap ik echt niet in maar dit is echt bloedlink. Ik krijg wel vaker van de popups omdat op de één of andere onverklaarbare manier iOS of OSX weer de wachtwoorden is ‘vergeten’. Snel patchen dit Apple!
Heel eng.. Sinds ik de beta van el capitan draai krijg ik soortgelijke meldingen door heel het systeem heen.. Kan dat ook zo iets zijn?
Man, man, dit is toch wel echt een enorm veiligheidslek hoor.
En als Apple dit genegeerd heeft, dan is het des te erger.
Ik heb de laatste dagen inderdaad al verschillende keren exact die pop-up gekregen tijdens het lezen van mijn mail.
Ik zou niet weten hoe je in dit geval kan zien dat het over phishing gaat.
Op ‘automatiseringgids.nl’ lees ik de volgende aanvulling in het artikel ‘Pas op! iCloud-pop-up kan een hack zijn!’:
Er is gelukkig wel een manier om vast te stellen of een pop-up legitiem is: door de Home-button in te drukken als je de pop-up ziet. Als dan inderdaad het beginscherm verschijnt, is sprake van een malafide pop-up. Legitieme inlogschermen staan namelijk niet toe dat er een andere actie wordt uitgevoerd voordat ze ingevuld zijn of op annuleren is gedrukt. Hieronder de complete link.
http://www.automatiseringgids.nl/nieuws/2015/24/pas-op-icloud-pop-up-in-apple-mail-is-een-hack
Mij gebeurt dit sinds kort steeds in iTunes dan blijft hij oppoppen en naar 3 x invullen houdt het op…
Bedankt voor de info !