Исследователь безопасности Феликс Краузе (Felix Krause) в рамках экспертимента продемонстрировал уязвимость, позволяющую похитить данные Apple ID с помощью фальшивого диалогового окна iOS.
Проблема заключается в том, что iOS запрашивает у пользователей данные Apple ID в различных случаях, усыпляя тем самым их бдительность. Чаще всего это происходит во время установки очередного обновления операционной системы или при возникновении ошибки во время установки приложений. Подобные всплывающие окна также появляются внутри некоторых программ, когда они запрашивают доступ к iCloud, GameCenter или к функции покупок внутри приложения.
В результате пользователи привыкают вводить свои данные Apple ID всякий раз при запросе iOS. Данной недоработкой могут воспользоваться злоумышленники, подменив диалоговое окно системы внешне неотличимым фишинговым окном. Данные, введенные в подобную форму, попадут в руки злоумышленников.
По словам исследователя, подделать окно невероятно просто. Для этого не требуется разрабатывать никакой специальный код, достаточно использовать приведенные в документации Apple примеры с небольшими изменениями. В общей сложности, исходный код состоит из менее чем 30 строк. Практически любой разработчик программ для iOS может быстро создать аналогичное фишинговое ПО, отметил Краузе.
Исследователь не стал публиковать PoC-код из этических соображений, поскольку посчитал, что данный недочет инженеров Apple при всей простоте реализации может причинить слишком серьезный ущерб. По словам Краузе, фишинговую атаку можно выявить, закрыв приложение при появлении всплывающего окна. Легитимное диалоговое окно будет и дальше отображаться на экране.
Читайте также
Последние новости