iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開される。

iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開されています。詳細は以下から。 iOSを利用しているとiTunes Storeやアプリ内課金などを行うプロセスでApple IDのパスワード入力を求められると思いますが、悪意のある攻撃者がこのポップアップを偽装し簡単にApple IDのパスワードをユーザーから盗み出すコンセプト(以下、PoC:Proof of Concept)をGoogleのエンジニアFelix Krauseさんが公開し、話題になっています。 📝 One of these is Apple asking you for your password and the other one is a phishing popup that steals your password https://t.co/PdOJcthqL7 pic.twitt

[shidho]

このダイアログ、正常時のときも、何が理由で出てくるのかとても謎すぎるのが最大の問題だと思うんだよな。入力を訓練されているのはそのせいだし。

[everybodyelse]

“iOSユーザーはこのパスワード入力を訓練されているため” なるほど確かに我々は非常に良く訓練された犬である

[gin0606]

わりとよく分からんタイミングで出るから危ないよなーって思ってたしすでに引っかかってる可能性もある

[kazoo_oo]

正常時にいきなりこれが出てきて「いやいやいや、待てよ。理由は？目的は？」ってなる自分は訓練が足りなかったらしい。

[securecat]

きわめて複雑なパスワードにしているので突然これが出てきても常に対応できない自分勝利であった。正常動作だとしても普段から対応できてない。

[Taqm]

本家も全く訳の分からんタイミングで入力を要請される事が多々ある。設定から入力するようPopアップの表示変えた方が良さげ。

[a2de]

iOSユーザーはこのパスワード入力を訓練されているため被害に合う可能性が高い

[taku-o]

これは看破が難しい

[hase0510]

MacOSのも地味なデザインなんだよなー。区別つきやすくして欲しいけど、Windowsの管理者権限要求みたいなのはなんか嫌なので、Appleはもっとオシャレなやり方を考案してください。

[syou430]

顔面認証させたいappleのマッチポンプなんかなー

[N_T]

"ホームボタンを押してアプリとダイアログボックスがどうなるかを確認 ダイアログボックスがアプリと一緒に閉じた場合 → フィッシング攻撃/ ダイアログボックスが閉じなかった場合 → iOSのシステムダイアログ"

[pixmap]

二段階認証を設定しておくのが最も簡単な対策な気がする

[tanayuki00]

ホームボタンを押して、①アプリと一緒にダイアログボックスが閉じた場合→フィッシング攻撃、②閉じなかった場合→iOSのシステムダイアログ。これは厳しい。

[godmother]

“ ダイアログボックスがアプリと一緒に閉じた場合 → フィッシング攻撃です。 ダイアログボックスが閉じなかった場合 → iOSのシステムダイアログです。”

[and_hyphen]

これはやばいやつだ。だって正常なダイアログだって何の前触れもなく出てくるからな...

[outdoor-kanazawa]

ん、これやばいね。俺も引っかかりそう

[cinefuk]

偽装ポップアップ詐欺はiOSデザインの不備と思う「表示されたポップアップに入力せず、代わりに設定アプリを起動しApple IDやパスワードを入力する事で攻撃を回避できる」 https://t.co/QVFkYZ0GbD

[hasegawatomoki]

これってアプリ内でも出すの難しいの？（メールアドレスをiTunesから取ってる？） Web内から出せたらすごいけど。

[otihateten3510]

見た目を真似できるのはまずいな。たぶん俺も引っかかる。

[Cherenkov]

思ってた

[miyakawa_taku]

id:boxshiitake ポップアップ（アラート）表示用APIを使わずに、自前で描画されるとたぶんアウトです。

[go_kuma]

はよ修正して。

[koogawa]

よくわからないときはパスワード入れちゃダメだな。当たり前だけど

[adachi_c]

パスワード入力訓練されすぎて、もうすでに２つや３つ引っかかったことありそうな気がする（自覚しない間に

[isabro1326]

タイミングがシビアだし、アプリ側に悪意がなければ起こりにくい。むしろ、Webサービスで実装されるとヤバい。。。

[hinaloe]

最近ポップアップ減ったのはtouchIDのおかげか？（

[rjge]

理由不明のサインイン要求は全部キャンセルするもんだと思ってたけど少数派だったのか…

[master-0717]

普段から謎のタイミングでポップアップしてたから危ないな。最近はあまりポップアップしない気がする。

[cwmoz22]

うわぁ、これはやられる。

[nezuku]

よくわからないタイミングで、Apple IDのアカウントに対応するパスワードの入力問い合わせてくることあるよね… 本当に入力してよいのかわからず、キャンセル押しちゃうけれども

[raitu]

iOS脆弱性「悪意のあるアプリやWebサービス内で”UIAlertController“を利用し、iOSのシステムがApple IDのパスワード入力を要求するポップアップと同じポップアップを突然表示させることでユーザーのパスワードを盗み取る」

[boxshiitake]

ポップアップを出しているアプリがわかるようにすればいいのに。アプリのアイコンバッジ付ければ解決だろ。

[yamanakaatsuko25]

怖いもの知らずですね

[tzk2106]

でもホームボタンを押すだけで見分けられるなら、新たにそのように訓練されるだけだし、犬としてはハードル高くないんじゃない？

[STARFLEET]

これも要注意案件。

[jgoamakf]

「ホームボタンを押してアプリとダイアログボックスがどうなるかを確認」て、結構手間だな。

[prototechno]

🙀