iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開される。

　iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開されています。詳細は以下から。

　iOSを利用しているとiTunes Storeやアプリ内課金などを行うプロセスでApple IDのパスワード入力を求められると思いますが、悪意のある攻撃者がこのポップアップを偽装し簡単にApple IDのパスワードをユーザーから盗み出すコンセプト(以下、PoC:Proof of Concept)をGoogleのエンジニアFelix Krauseさんが公開し、話題になっています。

iOS asks the user for their iTunes password for many reasons, the most common ones are recently installed iOS operating system updates, or iOS apps that are stuck during installation.[…]
This could easily be abused by any app, just by showing an UIAlertController, that looks exactly like the system dialog.
Even users who know a lot about technology have a hard time detecting that those alerts are phishing attacks.

iOS Privacy: steal.password – Easily get the user’s Apple ID password, just by asking — Felix Krause

PoC

　Krauseさんが公開したPoCは悪意のあるアプリやWebサービス内で”UIAlertController“を利用し、iOSのシステムがApple IDのパスワード入力を要求するポップアップと同じポップアップを突然表示させることでユーザーのパスワードを盗み取るというもので、iOSユーザーはこのパスワード入力を訓練されているため被害に合う可能性が高いとしており、

ユーザーは以下の様な対策を取る事で、このPoCを利用したフィッシングなどに遭わないように出来る他、表示されたポップアップに情報を入力せず、代わりに設定アプリを起動しApple IDやパスワードを入力する事でもこの攻撃を回避できると説明されています。

• ホームボタンを押してアプリとダイアログボックスがどうなるかを確認
1. ダイアログボックスがアプリと一緒に閉じた場合 → フィッシング攻撃です。
2. ダイアログボックスが閉じなかった場合 → iOSのシステムダイアログです。

　また、Krauseさんは悪意のあるアプリやWebサービスがユーザーのメールアドレスを知らなくても、同様の方法で簡単に入手できると説明しており、この問題をAppleに報告(rdar://34885659)するとともに意見を求めているので、興味のある方はKrauseさんの記事のコメント欄をチェックしてみて下さい。

追記

　Appleはこの問題をiOS 11.4までに修正したようです。

• iOS Privacy: steal.password – Easily get the user’s Apple ID password, just by asking — Felix Krause