サイトアイコン 小龍茶館

これはそっくりで騙される!iOSのApple IDパスワードを盗むフィッシング詐欺を防ぐ方法

昨日、fastlane.toolsの創業者、Felix Krause氏が、自身のブログで、iOSの脆弱性を突くApple IDパスワードを盗むフィッシング詐欺/攻撃が可能なこと、そしてその防御方法を公開しました(手法については危険すぎるとのことで公開はされていません)。

まず、この画面を見てください。

上の3枚のスクリーンショット、左が本当のiOSのiTunes Storeによるパスワード入力ダイアログで、右がフィッシング詐欺の手法による同様のパスワード入力ダイアログです。いやあ、全く区別がつきませんね。。

これはiOSのUIAlertControllerというiOSのコードの中のフレームワークを使えばいとも簡単に作ることができるものだそうです。

確かにここまで同じものが出てくると、我々は疑いなくApple IDのパスワードを入れてしまうのではないでしょうか。。

実は見分ける方法があります。1枚目と2枚目の最後の文字、”をよーく見てみてください。斜めになっているのが本物、縦のものがフィッシングのもの、となっています。しかし普通はそこまで細かく見ないですよね。

そこで、Felix Krause氏がこのフィッシング詐欺を見破る方法を2つ紹介しています。

もちろん、ここまでシステムと同じものを簡単に作られてしまうこと自体が、Apple自身のAPIやコードに欠陥があると言わざるを得ません。Appleの早急な対策が求められます(例えば、iOSシステム上のダイアログは、サードパーティには編集が許されない外観のダイアログを出すようにする、など)。

ということで、皆さんも暫くはiTunes Storeなど、Apple IDのパスワードを要求するダイアログが出たら要注意ですね。また、App Store以外のアプリをダウンロードしてインストールしないことも大事かと思われますが、Appleの審査も時間が24時間以内に短縮されているため、巧妙に隠されている場合はそこまで厳密に審査ができなくなっている可能性もあります。

記事は以上です。

(記事情報元:FELIX CRAUSE

モバイルバージョンを終了