iOS アプリで、新手のフィッシング詐欺方法見つかる!Apple IDパスワードを盗まれる危険あり

0
365

iOSデバイスを使用している場合は、Apple IDパスワードの入力を求める上記のポップアップがほぼ確実に表示されています。 App StoreやiTunes Storeにはよく出現しますが、バックグラウンドで何かが実行されているため、時々ランダムにポップアップする傾向があります。

しかし、開発者Felix Krauseの新しいブログ記事では、そのポップアップを使って簡単に誰かを騙してApple IDとパスワードを盗む方法を説明しています。

開発者は、iOSアプリメーカーがApple IDパスワードの入力を再作成することは非常に簡単だと説明しています。ポップアップを送信し、Apple IDとパスワードを記録することができます。

システムポップアップのように見えるダイアログを表示するのは非常に簡単で、魔法や秘密のコードは含まれていません。文字通りアップル社のドキュメントで提供されているカスタムテキストの一つです。

30行未満のコードで、すべてのiOSエンジニアが自分のフィッシングコードを迅速に作成できるようになります。

Krauseは、これがデスクトップブラウザで何年も大きな問題となってきたことを指摘しています。通常のシステム通知とほぼ同じ偽のポップアップを送信する違法なWebサイトがあります。これはiOSでもほぼ同じです。彼はすでにAppleにこの問題を提出しており、アップルがパスワードをポップアップで入力するのではなく、設定アプリ/ App Storeだけで入力できるようにすることができると説明している。

自分を守る方法については、Krauseは以下のステップを概説します。

ホームボタンを押して、アプリケーションが終了するかどうかを確認します。
アプリケーションを閉じてたとき、ダイアログも非表示になれば、これはフィッシング攻撃です
アプリを閉じても、ダイアログが引き続き表示されている場合は、システムダイアログです。その理由は、システムのダイアログがiOSアプリケーションの一部ではなく、別のプロセスで実行されるからです。