Numrush

App-ontwikkelaar waarschuwt voor gevaarlijke pop-ups in iOS-apps

Siri iOS 11

Het gebeurt nog wel eens in iOS: er verschijnt een pop-up die vraagt om je Apple ID, voordat je een app kunt installeren of updaten. Soms verschijnt de pop-up zelfs voor een weinig belangrijke taak. En omdat het zo vaak gebeurt, denkt niemand er eigenlijk nog echt bij na. Maar volgens app-ontwikkelaar Felix Krause moeten we dat wel doen. De pop-ups kunnen mogelijk misbruikt worden om je Apple ID te stelen, schrijft hij in een blogbericht.

In zijn blog toont hij twee afbeeldingen. Links staat een officiële pop-up van iOS, rechts een proof-of-concept van een neppe, die je gegevens wil stelen. Om een dergelijke pop-up te maken hoef je slechts dertig regels code te schrijven. Je kunt hem in een verder legitieme app plaatsen die al in de App Store staat.

“iOS zou duidelijke verschillen moeten maken tussen de elementen van het systeem en die van een app. Idealiter is het dan duidelijk voor de gemiddelde gebruiker dat er iets mis is”, aldus Krause. “Dit is een moeilijk probleem om op te lossen. Webbrowsers zijn er nog mee bezig; je hebt nog steeds websites die pop-ups laten lijken op die van macOS of iOS, zodat veel gebruikers denken dat het een bericht van het systeem is.”

Zo bescherm je jezelf

Verschillen tussen de pop-ups van het systeem en die van apps zijn er vooralsnog niet. Maar je kunt al wel iets eenvoudigs doen om jezelf te beschermen. Komt er een pop-up langs die om je wachtwoord vraagt, druk dan op de thuisknop. Worden de app en de pop-up gesloten, dan was het waarschijnlijk een poging om je gegevens in handen te krijgen. Is dit niet het geval, dan is het venster echt van iOS.

Krause raadt verder aan op nooit een wachtwoord in te toetsen in het venster. In plaats daarvan moet je hem wegklikken, apart de instellingen van iOS openen en daar het wachtwoord invoeren. Natuurlijk helpt het ook als je tweestapsverificatie aan hebt staan. Dan moet je niet alleen een wachtwoord invoeren, maar ook een aparte code. En dat is voor cybercriminelen een stuk moeilijker te kraken.