iOSアプリでのフィッシング詐欺、ダイアログ偽造で簡単に? 開発者が警告:パスワード詐取に悪用の恐れ
アプリによってシステムダイアログに見せかけたポップアップを表示し、Apple IDのパスワード入力を求めることは、極めて簡単だという。
AppleのiOSでApple IDのパスワード入力を促す仕組みを悪用し、アプリ内でフィッシング詐欺のポップアップ画面を表示させ、ユーザーのパスワードを盗むことができてしまう問題が見つかったとして、開発者が10月10日のブログで概略を公表した。
この問題は、iOSとAndroid向けの開発ツール「fastlane.tools」を手掛けるフィリックス・クラウス氏が発見した。同氏のブログによると、Apple IDのパスワード入力を促すポップアップ画面は、iOSの更新版をインストールする際などで求められるが、ロック画面やホーム画面だけでなく、例えばiCloudにアクセスしたりアプリ内購入を行う場合などに、アプリ内でも表示されることがある。
だが、この仕組みはアプリによって簡単に悪用できるとクラウス氏は解説する。UIAlertControllerを使ってシステムダイアログそっくりに見せかけたアラート画面を表示させれば、テクノロジーに詳しいユーザーでさえも、それがフィッシング詐欺だと見抜くのは難しいという。
しかも、システムダイアログに見せかけた詐欺ダイアログを表示することは極めて簡単で、どんなiOSエンジニアでも、手早くフィッシングコードを作成できてしまうとクラウス氏は指摘する。詐欺ポップアップでユーザーの電子メールアドレスを表示せずに、パスワードの入力を促すことも可能だとしている。
ユーザーがフィッシング詐欺を見分ける方法としては、ホームボタンを押してアプリと一緒にダイアログが消えれば、それはフィッシング詐欺であり、ダイアログとアプリがまだ表示されていれば、システムダイアログと判断できるという。
モバイルアプリ内のフィッシング詐欺については、まだあまり研究が進んでいないものの、今後はもっと現実的な問題になるだろうとクラウス氏は予想している。
関連記事
- iPhoneが安全とは限らない? マルウェア「iXintpwn」の思わぬ手口
安全といわれるiPhoneに思わぬ手口のマルウェアが登場。回避方法は? - iPhoneウイルスの現状――iOSの安全神話は捨てるべき
iOSを搭載したiPhoneなどにおける“安全神話”が崩れつつある。これまでの状況を振り返りながら、今後どうすべきかについて考察してみたい。 - Apple、「High Sierra」や「iOS 11.0.1」のセキュリティ情報公開
「High Sierra 10.13」では、OS X Lion 10.8以降のバージョンに存在していた多数の脆弱性に対処した。「iOS 11.0.1」「iCloud for Windows 7.0」も公開された。 - Apple、「iOS 11」や「Safari 11」のセキュリティ情報を公開
iPhone 5や第4世代のiPod、OS X Yosemite(10.10.5)などはアップデートの対象から外された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.