iOSデバイスを使ったことがある人なら、Apple IDのパスワード入力を求める上記のようなポップアップが表示されたことがあるはずです。App StoreやiTunes Storeでよく表示されますが、バックグラウンドで何かが動作しているなどの理由で、時々ランダムに表示されることもあります。

しかし、開発者のフェリックス・クラウス氏の新しいブログ投稿では、そのポップアップを利用して誰かを簡単に騙し、Apple ID とパスワードを渡させてしまう可能性があることが説明されている…

開発者によると、iOSアプリ開発者がApple IDのパスワードプロンプトを再現するのは非常に簡単だという。そこからアプリはポップアップを表示し、Apple IDとパスワードを入力できるようになる。これは30行未満のコードで、正規のiOSアプリに組み込むことでApp Storeの審査をすり抜けることができるようだ。

システム ポップアップのように見えるダイアログを表示するのは非常に簡単です。魔法や秘密のコードは使用されていません。文字通り、Apple のドキュメントで提供されている例にカスタム テキストを追加するだけです。

実際のポップアップ コードはオープンソース化しないことに決めましたが、コードは 30 行未満であり、すべての iOS エンジニアが独自のフィッシング コードを簡単に作成できることに注意してください。

クラウス氏は、デスクトップブラウザでは長年にわたりこの問題が大きな問題となっており、不正なウェブサイトが通常のシステム通知とほぼ同じ偽のポップアップを送信していると指摘しています。iOSでもほぼ同様の状況です。クラウス氏は既にこの問題をAppleに報告済みで、ポップアップでのパスワード入力を禁止し、設定アプリ/App Storeでのみ入力できるようにすることで解決できる可能性があると説明しています。

自分自身を守る方法について、クラウス氏は次のステップを概説しています。

• ホームボタンを押して、アプリが終了するかどうかを確認します。
  • アプリが閉じられ、ダイアログも閉じられる場合は、フィッシング攻撃です。
  • ダイアログとアプリがまだ表示されている場合は、システムダイアログです。これは、システムダイアログがiOSアプリの一部ではなく、別のプロセスで実行されるためです。
• ポップアップに認証情報を入力せず、ポップアップを閉じて設定アプリを手動で開きましょう。これは、メール内のリンクをクリックせず、ウェブサイトを手動で開くのと同じ考え方です。
• ダイアログで「キャンセル」ボタンを押しても、アプリはパスワードフィールドの内容にアクセスします。最初の文字を入力した後でも、アプリは既にパスワードを取得している可能性があります。

このフィッシング手法に関する Krause 氏の詳しい説明は、こちらの彼のブログで読むことができます。

Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。