Zo kunnen apps simpel je Apple ID-wachtwoord stelen

Wachtwoorden van Apple ID's zijn gemakkelijk te stelen. Volgens een ontwikkelaar hoef je er alleen maar om te vragen.

Hoe kun je het gemakkelijkst een wachtwoord ontfutselen? Door het gewoon te vragen! Ontwikkelaar Felix Krause heeft een probleem blootgelegd waar je als iOS-gebruiker voor moet oppassen: apps die zomaar om je Apple ID-wachtwoord vragen. Het verschil met een officiële pop-up van Apple is namelijk nauwelijks te zien.

Klik om inhoud van Twitter te tonen.
Learn more in Twitter’s privacy policy.

Simpel wachtwoorden stelen

Het blijkt heel simpel om een Apple ID-wachtwoord te stelen, stelt Krause in een serie tweets. Je vraagt gebruikers gewoon! Grote kans dat ze het gewoon intikken, zodra er een pop-up verschijnt. Als je dan ook nog zorgt dat de pop-up op die van Apple lijkt, is succes bijna gegarandeerd. “Ze zijn daarin getraind”, vindt Krause.

Klik om inhoud van Twitter te tonen.
Learn more in Twitter’s privacy policy.

En dat klopt, want dergelijke pop-ups zie je als iOS-gebruiker regelmatig verschijnen. De ontwikkelaar laat op screenshots zien hoe gemakkelijk het is om dan het wachtwoord te ontfutselen. Links is de officiële pop-up van Apple te zien, rechts de pop-up die een kwaadwillende in een app zou kunnen tonen. Je denkt er niet over na en tikt je wachtwoord in, terwijl je mompelt: “Het zal wel een appupdate zijn?”

Apple vraagt wel vaker ‘zomaar’ om je wachtwoord, bijvoorbeeld als de installatie van een app is mislukt. Omdat het zo vaak en op de meest willekeurige momenten voorkomt, zouden kwaadwillenden er makkelijk gebruik van kunnen maken, vindt Krause.

Niet zomaar wachtwoord intikken
De ontwikkelaar wil met zijn waarschuwing vooral zorgen dat mensen zich bewust ervan zijn en niet zomaar hun wachtwoord intikken, ook als het lijkt alsof Apple erom vraagt. “Ik ga de code niet delen, maar het was erg gemakkelijk om deze pop-up van Apple na te maken”, vertelt Krause. De ontwikkelaar hoeft niet eens je e-mail of Apple ID te weten. Apple’s officiële pop-ups tonen namelijk ook niet altijd je Apple ID.

Zo kun je jezelf beschermen

Om te voorkomen dat je in deze truc trapt, zul je goed moeten opletten of het om een melding van het systeem of van de app gaat.

Dit kun je controleren door op de thuisknop te drukken. Sluit de app tegelijk met de pop-up, dan was het een phishing-aanval. Blijven de app en de pop-up zichtbaar, dan is het een systeemmelding.

Apple ID inloggen

Verder is het altijd verstandiger om je wachtwoord handmatig in te voeren via de Instellingen-app. Druk daarom op de Cancel-knop als je een dergelijke pop-up ziet. Mocht je al iets hebben ingevuld, dan moet je het vak eerst wissen voordat je op Cancel drukt. “Als je op de Cancel-knop drukt, krijgt de app nog steeds toegang tot de inhoud van het wachtwoordveld, dus wis dit voordat je een pop-up wegklikt”, waarschuwt Krause. Hij heeft het probleem bij Apple aangemeld onder nummer rdar://34885659.

Reacties: 24 reacties

Reacties zijn gesloten voor dit artikel.