Разработчик Феликс Краузе поделился доказательством концепции фишинг-атаки. Он наглядно демонстрирует, как разработчики приложений могут использовать всплывающие окна Apple, чтобы получить доступ к идентификатору Apple Apple и паролю.
Как объясняет Краузе, пользователи iPhone и iPad привыкли к официальным запросам Apple о своем Apple ID и пароле для совершения покупок и доступа к iCloud, даже если это не приложение App Store или iTunes.
Используя UIAlertController, который эмулирует дизайн системного запроса для пароля, разработчики могут создавать идентичный интерфейс как фишинговый инструмент, который может обмануть многих пользователей iOS.
«Отображение диалогового окна, которое выглядит так же, как всплывающее окно системы, очень просто, нет никакого волшебного или секретного кода, это буквально примеры, представленные в документах Apple, с помощью специального текста. Я решил не открывать исходный код всплывающего окна, однако обратите внимание, что это меньше 30 строк кода, и каждый инженер iOS сможет быстро создать свой собственный код фишинга», — рассказал Феликс Краузе.
Хотя некоторым системным предупреждениям требуется, чтобы разработчик имел адрес электронной почты пользователя Apple ID, есть также всплывающие предупреждения, которые не требуют электронной почты и могут восстановить пароль.
Метод фишинга, который описывает Крауз, не является новым, и Apple верит приложениям, которые принимаются в App Store, но стоит отметить пользователей iOS, которые могут не знать, что такая попытка фишинга возможна.
Как говорит Краузе, пользователи могут защитить себя, опасаясь появления этих всплывающих диалогов. Если вы всплываете, нажмите кнопку «Домой», чтобы закрыть приложение. Если всплывающее окно уходит, оно привязано к приложению и является фишинг-атакой. Если он остается, это системный запрос от Apple.
Крауз также рекомендует пользователям отклонять всплывающие окна и вводить свои учетные данные непосредственно в приложении «Настройки».
Крауз сообщила об этой проблеме Apple и рекомендует исправление, в которое Apple предложит клиентам ввести свои учетные данные в приложение «Настройки», а не напрямую через всплывающее окно, которое можно легко подражать. В качестве альтернативы, он предлагает, чтобы учетные запросы могли включать значок приложения, указывающий, что приложение запрашивает, а не систему.
В качестве дополнительной защиты от таких атак, клиенты Apple должны включить двухфакторную аутентификацию, поскольку она не позволяет злоумышленникам быть в состоянии войти в учетную запись Apple ID без кода с проверенного устройства.
