Cлишком частый ввод Apple ID в iOS на руку злоумышленникам - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Cлишком частый ввод Apple ID в iOS на руку злоумышленникам

Политика Apple, согласно которой у пользователя постоянно запрашивают пароль к iTunes, подвергает владельцев iOS-устройств угрозе фишинговых атак, считает разработчик мобильных приложений Феликс Краузе (Felix Krause).

Претензия Краузе к Apple в том, что диалоговые окна, где пользователь должен ввести свой Apple ID, появляются слишком часто и беспорядочно. Он считает, что такие запросы стали настолько обыденными, что пользователи вводят свои личные данные на автомате и не задумываются о том, что диалоговое окно может оказаться вредоносным.

«Пользователи привыкли вводить пароль Apple ID каждый раз, когда iOS запрашивает его. Но эти диалоговые окна появляются не только на экране блокировки и в SpringBoard, но и внутри любых приложений, которым нужно, к примеру, получить доступ к iCloud, GameCenter или покупкам внутри приложения», — написал Краузе в отчете, опубликованном в понедельник в Open Radar.

Краузе полагает, что многократные запросы пароля могут сыграть на руку разработчикам вредоносных приложений. Злоумышленник может создать запрос UIAlertController, который выглядит так же, как диалоговое окно Apple, и запросить Apple ID или пароль (см. ниже).

«Даже технически подкованные пользователи вряд ли смогут понять, что эти запросы на самом деле являются фишинговыми атаками», — говорит Краузе.

Специалист предлагает несколько решений. Например, нужно сделать так, чтобы для ввода iTunes ID пользователю приходилось открывать приложение с настройками iOS. Другое решение – это добавить в диалоговые окна предупреждение о том, что именно это приложение запрашивает учетные данные, а не система.

В своем личном блоге Краузе пишет, что специалистам Apple нужно «устранить первопричину проблемы» и «перестать постоянно запрашивать у пользователей их учетные данные».

«Сначала я думал, что для фальсификации этих предупреждений злоумышленнику — разработчику приложения нужно знать адрес электронной почты пользователя. Но оказывается, что некоторые диалоговые окна для авторизации не требуют ввести адрес электронной почты, благодаря чему фишинговым приложениям очень легко запросить пароль», — говорит Краузе.

Однако Краузе не знает, были ли случаи использования этой уязвимости в преступных целях.

Если Apple не предпримет никаких действий, при появлении диалоговых окон в iOS Краузе рекомендует пользователям нажимать кнопку Home. Если окно закроется, это означает, что пользователь столкнулся с фишинговой атакой.

«Если диалоговое окно и приложение останутся на экране, то это системное сообщение. Дело в том, что системные диалоговые окна открываются в отдельном процессе, а не в рамках того или иного приложения iOS», — пишет он.

Кроме того, можно включить двухфакторную аутентификацию. Но при этом он предупреждает: «Даже если вы включите двухфакторную аутентификацию, что если приложение запросит у вас код подтверждения? Большинство пользователей без опаски запросят токен двухфакторной аутентификации и отправят его на удаленный сервер».

Краузе считает, что пользователям следует приучать себя не вводить на автомате учетные данные в диалоговые окна Apple — точно так же, как и не переходить по подозрительным ссылкам в электронных письмах.

«Нет ничего сложного в том, чтобы отобразить сообщение, похожее на системное диалоговое окно, для этого не нужно быть гением или волшебником, ведь все образцы с базовым текстом представлены в документации Apple, — пишет специалист. — Я решил не раскрывать исходный код всплывающего сообщения. Но помните, что в нем менее 30 строк кода, и каждый разработчик iOS сможет быстро написать собственный фишинговый код».

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus