昨日、fastlane.toolsの創業者、Felix Krause氏が、自身のブログで、iOSの脆弱性を突くApple IDパスワードを盗むフィッシング詐欺/攻撃が可能なこと、そしてその防御方法を公開しました(手法については危険すぎるとのことで公開はされていません)。
まず、この画面を見てください。
上の3枚のスクリーンショット、左が本当のiOSのiTunes Storeによるパスワード入力ダイアログで、右がフィッシング詐欺の手法による同様のパスワード入力ダイアログです。いやあ、全く区別がつきませんね。。
これはiOSのUIAlertControllerというiOSのコードの中のフレームワークを使えばいとも簡単に作ることができるものだそうです。
確かにここまで同じものが出てくると、我々は疑いなくApple IDのパスワードを入れてしまうのではないでしょうか。。
実は見分ける方法があります。1枚目と2枚目の最後の文字、”をよーく見てみてください。斜めになっているのが本物、縦のものがフィッシングのもの、となっています。しかし普通はそこまで細かく見ないですよね。
そこで、Felix Krause氏がこのフィッシング詐欺を見破る方法を2つ紹介しています。
- Apple IDのパスワードを入力するダイアログが出たら、まずはホームボタンを押してみる。それで画面が消えるようだったらフィッシング詐欺(UIAlertControllerはアプリに依存するため、システムそのもので実行できないため)。もし消えないようだったら本物、だそうです。
- もし消えるようだったら、そのままそのダイアログが出たAppを終了させて削除した方がいいでしょう。なお、キャンセルボタンを押してもApple IDのメールアドレスの内容が送られてしまうようです。また、一文字目を入れただけでもその情報が送られるとか。
- 1回でたらめな内容を入力してみて、それで通ってしまうようだったらそれはフィッシング詐欺。もし通らずに再度の入力を求められたら本物。
- ともかく、Apple IDなどのパスワードを求められたら、ダイアログに直接入力せずに、設定アプリに入って、そこで設定するようにする。
もちろん、ここまでシステムと同じものを簡単に作られてしまうこと自体が、Apple自身のAPIやコードに欠陥があると言わざるを得ません。Appleの早急な対策が求められます(例えば、iOSシステム上のダイアログは、サードパーティには編集が許されない外観のダイアログを出すようにする、など)。
ということで、皆さんも暫くはiTunes Storeなど、Apple IDのパスワードを要求するダイアログが出たら要注意ですね。また、App Store以外のアプリをダウンロードしてインストールしないことも大事かと思われますが、Appleの審査も時間が24時間以内に短縮されているため、巧妙に隠されている場合はそこまで厳密に審査ができなくなっている可能性もあります。
記事は以上です。
(記事情報元:FELIX CRAUSE)