iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開される。

iOS 11のApp Storeアイコン iOS
記事内に広告が含まれています。
スポンサーリンク

 iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開されています。詳細は以下から。

iOS 11のApp Storeアイコン

 iOSを利用しているとiTunes Storeやアプリ内課金などを行うプロセスでApple IDのパスワード入力を求められると思いますが、悪意のある攻撃者がこのポップアップを偽装し簡単にApple IDのパスワードをユーザーから盗み出すコンセプト(以下、PoC:Proof of Concept)をGoogleのエンジニアFelix Krauseさんが公開し、話題になっています。

iOS asks the user for their iTunes password for many reasons, the most common ones are recently installed iOS operating system updates, or iOS apps that are stuck during installation.[…]
This could easily be abused by any app, just by showing an UIAlertController, that looks exactly like the system dialog.
Even users who know a lot about technology have a hard time detecting that those alerts are phishing attacks.

iOS Privacy: steal.password – Easily get the user’s Apple ID password, just by asking — Felix Krause

PoC

 Krauseさんが公開したPoCは悪意のあるアプリやWebサービス内で”UIAlertController“を利用し、iOSのシステムがApple IDのパスワード入力を要求するポップアップと同じポップアップを突然表示させることでユーザーのパスワードを盗み取るというもので、iOSユーザーはこのパスワード入力を訓練されているため被害に合う可能性が高いとしており、

iOSポップアップを利用したフィッシング

ユーザーは以下の様な対策を取る事で、このPoCを利用したフィッシングなどに遭わないように出来る他、表示されたポップアップに情報を入力せず、代わりに設定アプリを起動しApple IDやパスワードを入力する事でもこの攻撃を回避できると説明されています。

  • ホームボタンを押してアプリとダイアログボックスがどうなるかを確認
    1. ダイアログボックスがアプリと一緒に閉じた場合 → フィッシング攻撃です
    2. ダイアログボックスが閉じなかった場合 → iOSのシステムダイアログです

 また、Krauseさんは悪意のあるアプリやWebサービスがユーザーのメールアドレスを知らなくても、同様の方法で簡単に入手できると説明しており、この問題をAppleに報告(rdar://34885659)するとともに意見を求めているので、興味のある方はKrauseさんの記事のコメント欄をチェックしてみて下さい。

iOSのダイアログボックス

追記

 Appleはこの問題をiOS 11.4までに修正したようです。

コメント

  1. 匿名 より:

    This is ridiculous. Apple must do some special designs towards system-prompted message popups. This design shall not be imitatable by the UIAlertController used by all non-Apple software developers.

  2. 匿名 より:

    >iOSユーザーはこのパスワード入力を訓練されているため

    訓練ワロタ

  3. 匿名 より:

    2ファクタ認証はONにするべきだな。

  4. 匿名 より:

    yahooみたいにパスワード入力欄にテーマ設定できればいいのに

  5. 匿名 より:

    アップルはこの手の詐欺対策して欲しい。アンドロイドじゃなくアップルを使っているのはこういうのに強いからじゃないかな?

タイトルとURLをコピーしました