| 10 окт 2017 — 17:12 PT
Если вы хоть раз пользовались устройством на iOS, вам почти наверняка доводилось видеть всплывающее окно с просьбой ввести пароль от Apple ID. Оно часто появляется в App Store и iTunes Store, но также может появляться случайным образом из-за каких-либо фоновых процессов.
Однако новый пост разработчика Феликса Краузе объясняет, как это всплывающее окно может быть использовано, чтобы легко обмануть кого-то и заставить его отдать свой Apple ID и пароль…
Разработчик объясняет, что для создателя приложения для iOS невероятно легко воссоздать окно запроса пароля Apple ID. Оттуда приложение может отправить это всплывающее окно и, соответственно, записать Apple ID и пароль. Это занимает менее 30 строк кода, и, похоже, его можно встроить в любое легитимное приложение для iOS, обойдя проверку командами App Store.
Показать диалоговое окно, которое выглядит как системное всплывающее окно, очень легко, в этом нет никакой магии или секретного кода, это буквально примеры из документации Apple с пользовательским текстом.
Я решил не выкладывать код всплывающего окна в открытый доступ, однако учтите, что он состоит менее чем из 30 строк кода, и любой iOS-инженер сможет быстро создать свой фишинговый код.
Краузе отмечает, что это было большой проблемой на настольных браузерах в течение многих лет, когда нелегитимные веб-сайты отправляли поддельные всплывающие окна, почти идентичные обычным системным уведомлениям. Для iOS это в значительной степени то же самое. Он говорит, что уже подал этот вопрос в Apple в виде запроса (radar) и объясняет, что Apple могла бы исправить это, запретив ввод паролей во всплывающих окнах, а только в приложении «Настройки»/App Store.
Что касается того, как вы можете защитить себя, Краузе излагает следующие шаги:
- Нажмите кнопку «Домой» и посмотрите, закроется ли приложение:
- Если оно закрывает приложение вместе с диалоговым окном, значит, это была фишинговая атака.
- Если диалоговое окно и приложение все еще видны, значит, это системный диалог. Причина в том, что системные диалоги работают в другом процессе, а не как часть какого-либо приложения iOS.
- Не вводите свои учетные данные во всплывающем окне, вместо этого закройте его и откройте приложение «Настройки» вручную. Это та же концепция, что и никогда не нажимать на ссылки в письмах, а вместо этого открывать веб-сайт вручную.
- Если вы нажмете кнопку «Отмена» в диалоговом окне, приложение все равно получит доступ к содержимому поля пароля. Даже после ввода первых символов приложение, вероятно, уже получило ваш пароль.
Вы можете прочитать полное объяснение Краузе этого фишингового метода в его блоге прямо здесь.
Смотрите 9to5Mac на YouTube для получения дополнительных новостей Apple: