iPhone を所有している場合は、iTunes、App Store、またはアプリ内で購入するときに、Apple ID を常に要求されることに慣れているでしょう。小さなポップアップが表示されたら、目を丸くして、律儀にパスワードを入力します。
しかし、そのポップアップが Apple からのものではなく、ハッカーがあなたの認証情報を盗もうとする公式リクエストのように見えるように設計されていたとしたらどうなるでしょうか?これは、悪意のある類似ポップアップの概念実証の内訳を書いたアプリ開発者のフェリックス・クラウス氏が提唱したケースだ。
Krause 氏が指摘しているように、30 行未満のコードを使用すれば、非常に説得力のあるフィッシング ダイアログを作成できます。彼は並べた写真で、Apple の公式 ID パスワード要求と彼自身の取り組みを比較しています。そのアイデアは、コードがアプリに密かに持ち込まれ、ユーザーが実際に目にするのは Apple の UI ではなくアプリの通知であるということです。彼の写真が示すように、これは開発者によって「iTunes Store にサインイン」ポップアップと同じように見えるように設計できます。
Apple 側の主な問題は、iOS では通知ソースの違いを見分けるのが難しいことです。 「iOS は、システム UI 要素とアプリ UI 要素を明確に区別する必要があります。そうすれば、平均的なスマートフォン ユーザーにとって、何かがおかしいとすぐに分かるのが理想的です」とクラウス氏は言います。
関連項目を参照 マルウェアのビジネス 大規模なサイバー攻撃に備えて、国家サイバーセキュリティセンターが警告 Equifax は、危険なダウンロードとマルウェアを提供する Web ページの削除を余儀なくされています。ポップアップを macOS や iOS のポップアップのように見せかける Web サイトがまだ存在するため、多くのユーザーがシステム メッセージだと思っています。」
Krause 氏は、ポップアップではなく設定アプリでユーザーにパスワードの入力を強制するなど、問題に対する潜在的な解決策をいくつか追加しています。もっと可能性が高いのは、Apple がシステム プロンプトのデザインを変更して、公式の要求であることを示す追加のアイコンを含めるようにするという彼の提案です。彼は、以下の一部のプッシュ通知で使用される感嘆符を指摘しています。 app_store_phishing_2
開発者は今のところ、モバイルフィッシングを防ぐためにユーザーが実行できるいくつかの手順をメモしています。最も簡単なのは、ホームボタンを押すことです。これによりアプリとダイアログが閉じた場合、それはフィッシング攻撃です。ダイアログとアプリがまだ表示されている場合、それはシステム ダイアログです。
また、このタイプの攻撃は、悪意のあるアプリが App Store の審査プロセスを通過し、開発者によってコードがアクティブ化されるかどうかにかかっていることにも注目してください。 Apple は通常、この種のことには積極的であり、そのようなガイドライン違反が検出された場合は措置を講じる予定です。しかしクラウス氏は、「悪意を持った組織は常にプラットフォームの制限を何とか回避する方法を見つけるだろう」と述べています。
「ハッキングにより、犯罪者が危険なポップアップを使用して Apple ID を盗む方法が明らかになりました」に関するベスト動画選定!
意外と知らない?Apple IDアカウントが乗っ取られる危険性
【悪用厳禁!】【意外と知らない】iPhoneパスワードを解除する裏ワザ!#short