משתמשי אייפון מדווחים על גל חדש של תקיפות על מכשירים: בשיטה החדשה האקרים מנצלים חולשה במערכת איפוס הסיסמאות של אפל כדי לגנוב סיסמאות למכשירים ולחדור למידע הפרטי של המשתמשים באייפון.
המתקפה מסוג פישינג מבוצעת באמצעות שליחת בקשה מרחוק לאיפוס הסיסמה של המכשיר, אבל באופן סדרתי. בעל המכשיר מקבל מספר עצום של הודעות ששואלות אותו אם הוא זה שביקש את איפוס הסיסמה וחוסמות את יכולתו להשתמש במכשיר עד שהוא משיב לכולן. שולחי ההודעות מקווים שבעת המעבר על כל ההודעות האצבע של המשתמש תחליק והוא יאשר בטעות את האיפוס.
לפי דיווחים של אנשים שחוו את המתקפה, לאחר שהם דחו את כל ההודעות, התקשר אליו מתחזה שהציג עצמו כנציג של אפל. אותו מתקשר טען שמתבצע ניסיון פריצה למכשיר וביקש ממנו להקריא לו את הקוד שמופיע על גבי מסך האייפון ומאפשר גישה מרחוק לנתונים.
The attackers made a led high effort focused attack on me, using OSINT data from People Data Labs and caller ID spoofing.
— Parth (@parth220_) March 23, 2024
First, around 6:36pm yesterday all of my Apple devices started blowing up with Reset Password notifications.
Because these are Apple system level alerts,… pic.twitter.com/vX1AZvoVoN
המתקפה החדשה, שמשתמשים מכנים אותה "מתקפת פושים", יכולה לתקוף לא רק מכשירי אייפון אלא גם מכשירים נוספים של אפל כמו אייפדים ומחשבי מק. "הייתי צריך לסגור 100 הודעות פוש בשביל לחזור להשתמש במכשיר שלי", דיווח משתמש ברשת אקס. "ההודעות הופיעו גם בטלפון, גם בשעון וגם בלפטופ שלי".
על מנת שההאקרים יוכלו לבצע את הפירצה, הם צריכים גם את שם המשתמש בחשבון ה-iCloud של המשתמש ואת מספר הטלפון שלו - פרטים שהם משיגים ממאגרי מידע גדולים ברשת שאוספים נתונים על משתמשים. השילוב עם היכולת להתקשר למשתמש ולהתחזות לנציג של אפל תוחמת בשלב זה את ניונות התקיפה לארה"ב בלבד.
באפל עדיין לא התייחסו למקרים, אך מומחים טוענים כי הבאג שמנוצל לפריצה הוא כזה שקל יחסית לטיפול. לדבריהם, מדובר דבר בתקיפה שאינה מתוחכמת טכנולוגית ומתמקדת יותר בחוסר תשומת לב של אפל בבניית מערכת איפוס הסיסמה שלה.