Разработчик Феликс Краузе сегодня поделился концепцией фишинговой атаки, которая набирает обороты, поскольку она наглядно демонстрирует, как разработчики приложений могут использовать всплывающие окна в стиле Apple для получения доступа к Apple ID и паролю пользователя iPhone.
Как объясняет Краузе, пользователи iPhone и iPad привыкли к официальным запросам Apple на ввод своего Apple ID и пароля для совершения покупок и доступа к iCloud, даже когда они находятся не в App Store или iTunes.
Используя UIAlertController, который имитирует дизайн системного запроса пароля, разработчики могут создать идентичный интерфейс в качестве фишингового инструмента, который может обмануть многих пользователей iOS.
Показать диалоговое окно, которое выглядит точно так же, как системное всплывающее окно, очень просто, в этом нет никакой магии или секретного кода, это буквально примеры из документации Apple с пользовательским текстом.
Я решил не выкладывать код самого всплывающего окна в открытый доступ, однако имейте в виду, что это менее 30 строк кода, и любой iOS-инженер сможет быстро создать свой собственный фишинговый код.
Хотя для некоторых системных уведомлений разработчику потребуется знать адрес электронной почты Apple ID пользователя, существуют также всплывающие уведомления, которые не требуют адреса электронной почты и могут восстановить пароль.
Метод фишинга, описанный Краузе, не нов, и Apple проверяет приложения, принимаемые в App Store, но стоит обратить на это внимание пользователям iOS, которые могут не знать о возможности такой фишинговой атаки.
Как говорит Краузе, пользователи могут защитить себя, проявляя осторожность в отношении таких диалоговых окон. Если такое окно появляется, нажмите кнопку «Домой», чтобы закрыть приложение. Если всплывающее окно исчезнет, значит, оно связано с приложением и является фишинговой атакой. Если оно останется, это системный запрос от Apple.
Краузе также рекомендует пользователям закрывать всплывающие окна и вводить свои учетные данные непосредственно в приложении «Настройки».
Краузе сообщил о проблеме Apple и рекомендует исправление, которое заключалось бы в том, чтобы Apple просила клиентов вводить свои учетные данные в приложении «Настройки», а не напрямую через легко имитируемое всплывающее окно. В качестве альтернативы он предлагает, чтобы запросы учетных данных включали значок приложения, указывающий, что запрос исходит от приложения, а не от системы.
В качестве дополнительной защиты от подобных атак клиенты Apple должны включить двухфакторную аутентификацию, поскольку она не позволяет злоумышленникам входить в учетную запись Apple ID без кода с проверенного устройства.
