Разработчик Феликс Краузе (Felix Krause) продемонстрировал новый способ кражи данных пользователей iOS с помощью фишинга. Таким образом злоумышленники могут похитить пароль от Apple ID и получить доступ к аккаунту, написал он в своем блоге.
Раскрыт простой способ взломать iPhone
Обращаем ваше внимание, что статье более пяти лет и она находится в нашем архиве. Мы не несем ответственности за содержание архивов, таким образом, может оказаться необходимым ознакомиться и с более новыми источниками.
Краузе объяснил, что разработчики приложений могут подделать специальное окно, которое обычно появляется в iOS в случае необходимости ввода пароля. Оно появляется во время совершения покупок на устройстве или при получении доступа к iCloud и Game Center.
Благодаря тому, что системное поле для ввода данных может появляться в том числе внутри приложений, злоумышленники используют это для кражи данных.
К тому же, в документации Apple представлены примеры оформления таких окон, что позволяет практически любому разработчику просто скопировать его и внедрить в собственное приложение.
«Я решил не открывать исходники всплывающего уведомления, однако учтите, что это меньше 30 строчек кода и практически любой iOS-разработчик может легко создать свое собственное фишинговое окно», — отмечает Краузе.
Для обычного пользователя это окно выглядит точно также как и системное окно. Краузе отмечает, что отличить его можно лишь по незначительным деталям, вроде использования другого вида кавычек.
В качестве меры предосторожности он предлагает выходить из приложения как только появится требование ввести пароль от аккаунта.
Если вместе с ним закроется и предупреждение, то это было поддельное окно, а если останется — то оно системное. Также, пользователям рекомендуется включить двухфакторную аутентификацию. В таком случае даже если злоумышленники узнают пароль, они не смогут получить доступ к аккаунту.
Краузе добавил, что эта уязвимость существует довольно давно и Apple не предпринимала никаких действий для ее решения. В качестве решения он предлагает помечать уведомления от приложений, чтобы пользователь точно мог отличить фишинговое окно ввода пароля.