Apple、悪意のあるユーザーがiOSのポップアップを偽装することでApple IDとパスワードが盗み取られてしまう可能性のある問題を修正したようです。詳細は以下から。
以前、GoogleのエンジニアのFelix KrauseさんがiTunes Storeやアプリ内課金などを行うプロセスで表示される「Apple IDのパスワード入力プロンプト」を悪意のあるユーザーが偽装することで、このパスワード入力プロンプトに慣れたiOSユーザーがApple IDとそのパスワードを採取される恐れがあるとして、そのコンセプト(以下、PoC:Proof of Concept)を公開しましたが、Appleはこの問題を修正していたようです。
Felixさんによると、AppleはiOS 12(*1)でApple IDに関する設定をアップデートする際に、現在表示しているiOSデバイスの画面にパスワード入力プロンプトを出すのではなく、設定アプリの[Update Apple ID Settings] → [Continue]に進み正規のパスワード入力プロンプトを出すように仕様を変更しているそうで、
✨📯 Looks like the iCloud phishing problem is fixed with iOS 12 💃 The password prompt now uses a badge in the Settings app to then show the password prompt.
More context on the issue https://t.co/vm8GRziU3v pic.twitter.com/s36JhBv89R
— Felix Krause (@KrauseFx) 2018年8月1日
この変更によりユーザーはApple IDの情報をアップデートする際、アプリを一度閉じるため偽装されたプロンプトにパスワードを入力することはなくなっているようです。
- パスワード入力プロンプト(ダイアログボックス)が正規のものかを確認する方法
- ダイアログボックスがアプリと一緒に閉じた場合 → フィッシング攻撃。
- ダイアログボックスが閉じなかった場合 → iOSのシステムダイアログ。
おまけ
*1:実際に試してみましたが、この仕様はiOS 12のBeta版はもちろん、iOS 11.4.1でも確認できたのでAppleは既にこの問題を修正していたようですが、PoCやRadarを登録したFelixさんの方には連絡がいっていないようです。
コメント