Новая уязвимость iOS позволяет украсть ваш Apple ID
Если вы пользуетесь iOS-устройством, то наверняка бывали случаи, когда появлялось диалоговое окно, в котором вам необходимо указать Apple ID и пароль. Такое окно чаще всего появляется после установки обновления iOS или нового приложения, которому необходим доступ в iCloud или покупкам в AppStore. Рядовые пользователи знают, что это системное окно iOS, поэтому спокойно вводят свои учетные данные на автомате, ничего не подозревая. А зря!
Как это работает
Разработчик Феликс Краузе опубликовал в своём блоге детальное описание новой уязвимости, благодаря которой пользователи iOS-девайсов могут быть подвержены фишинг-атаке. Диалоговое окно, о котором было написано выше, может создать любой разработчик, добавив в своё приложение всего 30 строк кода (сам код в блоге, естественно, не был опубликован).
Как видно из скриншотов, отличить оригинал от подделки невозможно. Таким образом, скачав какой-нибудь новый плеер для ВК, можно слить данные своей учетной записи злоумышленникам. Да как такое возможно? Ведь все приложения проверяются модераторами в AppStore, и вообще, Apple уделяет огромное внимание безопасности своих пользователей! По словам Феликса, добавить опасный код в приложение возможно даже после его одобрения в магазине AppStore.
Как защитить себя
Пока Apple никак не отреагировала на обращение разработчика, поэтому важно соблюдать меры предосторожности, чтобы не попасться на удочку мошенников.
- Во время появления всплывающего окна в приложении нажмите кнопку «домой». Если окно исчезает вместе с приложением, то это фишинг-атака. А если будет отображаться, то это системное уведомление iOS. Все дело в том, что всплывающие системные уведомления являются отдельным процессом, а не частью приложений.
- Не вводите свои учетные записи во всплывающие окна. Лучше сверните все приложения, идите в настройки и проверьте действительно ли необходим ввод учетных данных. Это тоже самое, как не переходить по ссылкам в почтовых рассылках, а вводить адрес нужного сайта вручную.
Будьте бдительны и заглядывайте ко мне на канал.
Создаём обычное модальное окно с нужным текстом, полем и кнопками. Не совсем понимаю почему это считается уязвимостью и как на это должна реагировать Apple.
Больше не понятно откуда известна Почта для фишингового алерта, здесь скорее всего уязвимость
Почту многие приложения просят напрямую или, например, конектясь к VC через фейсбук, вы даете доступ к почте.
Уязвимость в том, что любой сможет создать такое модальное окно и утащить данные Apple ID через своё приложение. Я думаю, что Apple должна изменить как-то логику работы таких окон, ну или обратить внимание на способы, которыми пользуются злоумышленники для удаленного добавления кода.