Новая уязвимость iOS позволяет украсть ваш Apple ID

Если вы пользуетесь iOS-устройством, то наверняка бывали случаи, когда появлялось диалоговое окно, в котором вам необходимо указать Apple ID и пароль. Такое окно чаще всего появляется после установки обновления iOS или нового приложения, которому необходим доступ в iCloud или покупкам в AppStore. Рядовые пользователи знают, что это системное окно iOS, поэтому спокойно вводят свои учетные данные на автомате, ничего не подозревая. А зря!

Как это работает

Разработчик Феликс Краузе опубликовал в своём блоге детальное описание новой уязвимости, благодаря которой пользователи iOS-девайсов могут быть подвержены фишинг-атаке. Диалоговое окно, о котором было написано выше, может создать любой разработчик, добавив в своё приложение всего 30 строк кода (сам код в блоге, естественно, не был опубликован).

Всплывающие диалоговые окна iOS. Слева оригинал, справа фишинг.

Как видно из скриншотов, отличить оригинал от подделки невозможно. Таким образом, скачав какой-нибудь новый плеер для ВК, можно слить данные своей учетной записи злоумышленникам. Да как такое возможно? Ведь все приложения проверяются модераторами в AppStore, и вообще, Apple уделяет огромное внимание безопасности своих пользователей! По словам Феликса, добавить опасный код в приложение возможно даже после его одобрения в магазине AppStore.

Как защитить себя

Пока Apple никак не отреагировала на обращение разработчика, поэтому важно соблюдать меры предосторожности, чтобы не попасться на удочку мошенников.

  • Во время появления всплывающего окна в приложении нажмите кнопку «домой». Если окно исчезает вместе с приложением, то это фишинг-атака. А если будет отображаться, то это системное уведомление iOS. Все дело в том, что всплывающие системные уведомления являются отдельным процессом, а не частью приложений.
  • Не вводите свои учетные записи во всплывающие окна. Лучше сверните все приложения, идите в настройки и проверьте действительно ли необходим ввод учетных данных. Это тоже самое, как не переходить по ссылкам в почтовых рассылках, а вводить адрес нужного сайта вручную.

Будьте бдительны и заглядывайте ко мне на канал.

0
5 комментариев
Игорь Еникеев

Создаём обычное модальное окно с нужным текстом, полем и кнопками. Не совсем понимаю почему это считается уязвимостью и как на это должна реагировать Apple.

Ответить
Развернуть ветку
Bogdan Novikov

Больше не понятно откуда известна Почта для фишингового алерта, здесь скорее всего уязвимость

Ответить
Развернуть ветку
Alexey Bolshov

Почту многие приложения просят напрямую или, например, конектясь к VC через фейсбук, вы даете доступ к почте.

Ответить
Развернуть ветку
Bogdan Novikov

Не у многих на айфоне почта Айклауда и почта обычная одна. Да и не будет же пользователь свою почту указывать для игры (в статье пример скриншота клона 2048). Хотелось бы чтобы vc разъяснили момент с почти - безопасностью именно в ней нарушена, то что она становится доступна как-то?

Ответить
Развернуть ветку
Александр Егоров
Автор

Уязвимость в том, что любой сможет создать такое модальное окно и утащить данные Apple ID через своё приложение. Я думаю, что Apple должна изменить как-то логику работы таких окон, ну или обратить внимание на способы, которыми пользуются злоумышленники для удаленного добавления кода.

Ответить
Развернуть ветку
2 комментария
Раскрывать всегда