Apple、悪意のあるユーザーがiOSのポップアップを偽装することでApple IDとパスワードが盗み取られてしまう可能性のある問題を修正。

iOS11
記事内に広告が含まれています。
スポンサーリンク

 Apple、悪意のあるユーザーがiOSのポップアップを偽装することでApple IDとパスワードが盗み取られてしまう可能性のある問題を修正したようです。詳細は以下から。


 以前、GoogleのエンジニアのFelix KrauseさんがiTunes Storeやアプリ内課金などを行うプロセスで表示される「Apple IDのパスワード入力プロンプト」を悪意のあるユーザーが偽装することで、このパスワード入力プロンプトに慣れたiOSユーザーがApple IDとそのパスワードを採取される恐れがあるとして、そのコンセプト(以下、PoC:Proof of Concept)を公開しましたが、Appleはこの問題を修正していたようです。

左が正規のポップアップ、右がアプリ内でダイアログボックスを偽装したポップアップ。

 Felixさんによると、AppleはiOS 12(*1)でApple IDに関する設定をアップデートする際に、現在表示しているiOSデバイスの画面にパスワード入力プロンプトを出すのではなく、設定アプリの[Update Apple ID Settings] → [Continue]に進み正規のパスワード入力プロンプトを出すように仕様を変更しているそうで、

この変更によりユーザーはApple IDの情報をアップデートする際、アプリを一度閉じるため偽装されたプロンプトにパスワードを入力することはなくなっているようです。

  • パスワード入力プロンプト(ダイアログボックス)が正規のものかを確認する方法
    1. ダイアログボックスがアプリと一緒に閉じた場合 → フィッシング攻撃
    2. ダイアログボックスが閉じなかった場合 → iOSのシステムダイアログ

おまけ

 *1:実際に試してみましたが、この仕様はiOS 12のBeta版はもちろん、iOS 11.4.1でも確認できたのでAppleは既にこの問題を修正していたようですが、PoCやRadarを登録したFelixさんの方には連絡がいっていないようです。

コメント

タイトルとURLをコピーしました