モバイルアプリ開発者は、ユーザーの Apple ID を要求するiOSポップアップにセキュリティホールがあると指摘しました。 Felix Krause 氏は 10 月 10 日に自身のブログに記事を公開し、本物のポップアップと詐欺的なポップアップを比較して、両者の類似性を示しました。
Apple のポップアップは通常、アプリケーションや iOS オペレーティング システムを更新またはインストールするとき、またはApp Storeで購入するときにユーザーのパスワードを要求するため、パスワードの入力を事実上自動化しています。これらのポップアップは、ロック画面に表示されるだけでなく、 iCloud、GameCenter、またはアプリ内購入にアクセスするアプリケーションが開いているときにも表示されます。
Krause 氏が確認したのは、最小限の知識と Apple の設計ガイドがあれば、これらのポップアップの 1 つを作成できるということです。同氏は、「iOS 開発者が作成するのに必要なコードは 30 行未満」であるため、フィッシング攻撃は非常に簡単に達成できると指摘しています。このようにして、本物のポップアップ ウィンドウを模倣することに成功したアプリは、Apple ID を要求することでユーザーをだますことができます。
「これは、システム ダイアログとまったく同じように見える UIAlertController を表示するだけで、どのアプリケーションでも簡単に悪用される可能性があります。テクノロジーに精通したユーザーでも、これらのアラートがフィッシング攻撃であることを検出するのは困難です」とクラウス氏は警告し、含めないことに決めた彼のテキストにはポップアップ ウィンドウの実際のコードが記載されており、「驚くほど簡単に複製できる」と述べています。
次の画像は、本物のポップアップと詐欺的なポップアップを示しています。
パスワードを入力する前に、ポップアップが本物か不正かを確認するには、ホーム ボタンを押します。ポップアップとともにアプリが閉じる場合、それはフィッシング攻撃です。逆に、ポップアップ ウィンドウとアプリケーションがまだ表示されている場合、それは本物です。ホーム ボタンを何度クリックしても、それは実際のシステム メッセージであるため、どこにも移動しません。これは、Apple のものは iOS アプリの一部としてではなく、別のプロセスで実行されるためです。
「 iOS は、システム インターフェイスの要素とアプリの要素を明確に区別する必要があります。そうすることで、理想的には…平均的なスマートフォン ユーザーにとって何かが間違っていることが明らかです。これは依然として解決が難しい問題であり、多くの Web ブラウザでは開発者は、ポップアップを macOS/iOS のポップアップのように見せかけ、多くのユーザーがシステム メッセージであると思わせるウェブサイトがまだ存在します。」と開発者は結論づけています。
参考資料一覧
- https://krausefx.com/blog/ios-privacy-stealpassword-easy-get-the-users-apple-id-password-just-by-asking