Разработчик Феликс Краузе продемонстрировал доказательство возможности проведения фишинговой атаки на iOS, которая позволяет украсть сведения об идентификаторе Apple ID и пароле пользователя.
Как объясняет Краузе, пользователи iPhone и iPad привыкли к официальным запросам Apple о своем Apple ID и пароле для совершения покупок и доступа к iCloud, даже если этот запрос демонстрируется не в приложениях App Store или iTunes. Сторонние разработчики могут воспользоваться UIAlertController для копирования дизайна системного запроса пароля и воспроизвести идентичный интерфейс для фишинговых инструментов, которые смогут обмануть многих пользователей iOS.
Вывести диалог, который как две капли воды похож на системный всплывающий запрос пароля, достаточно легко. Для этого не потребуется создавать какой-либо сложный специфический код. Соответствующие примеры приводятся в документации Apple. Фактически, любой iOS-разработчик сможет быстро создать свой собственный фишинговый код, который будет занимать менее 30 строчек, заверяет Краузе.
Хотя некоторым системным уведомлениям требуется, чтобы разработчик имел адрес электронной почты пользователя Apple ID, есть также всплывающие уведомления, которые не требуют электронной почты и могут восстановить пароль.
Метод фишинга, который описывает Krause, не является новым, и Apple блокирует подобные приложения, которые направляются в App Store. Но в любом случае, пользователям iOS следует знать, что такая попытка фишинга возможна.
Как говорит Краузе, пользователи могут защитить себя от такого способа кражи паролей. В случае возникновения всплывающего окна с просьбой ввести пароль, достаточно нажать кнопку «Домой», чтобы закрыть приложение. Если при этом всплывающее окно скрывается с дисплея, оно привязано к приложению и является элементом фишинговой атаки. Если окно остаётся на экране, значит это системный запрос от Apple.
Krause сообщил об этой проблеме компании Apple и высказал рекомендации по устранению лазейки. В частности, он рекомендует запрашивать учётные данные пользователей в разделе настроек, а не напрямую через всплывающее окно в приложениях, которое можно имитировать. В качестве альтернативы он предлагает, чтобы при запросах учётных данных выводился значок приложения, указывающий, что пароль требует именно конкретное приложение, а не система. Также рекомендуется активировать двухфакторную аутентификацию, которая не позволит войти в учётную запись без дополнительного подтверждения, даже если пароль удалось похитить.
Источник: macrumors