iPhone を所有している場合、iTunes、App Store、またはアプリ内で購入するときに、常に Apple ID を要求されるように見えることに慣れているでしょう。小さなポップアップが表示されたら、目を丸くして、パスワードを忠実に入力します。
しかし、そのポップアップが Apple からのものではなく、ハッカーがあなたの資格情報を盗もうとする公式の要求のように見えるように設計されているとしたらどうでしょう?これは、アプリ開発者の Felix Krause によって提唱されたケースです。 概念実証の内訳 悪質な類似のポップアップ。
Krause が指摘しているように、非常に説得力のあるフィッシング ダイアログを作成するために使用できるコードは 30 行未満です。並べた写真で、彼は Apple の公式 ID パスワード要求を自分自身の努力と比較しています。アイデアは、コードがアプリと一緒に密輸され、ユーザーが実際に目にするのは Apple の UI ではなくアプリの通知になるというものです。彼の写真が示すように、これは開発者が「iTunes Store へのサインイン」ポップアップと同じように見えるように設計できます。
Apple 側から見た主な問題は、iOS が通知ソースの違いを見分けるのを難しくしていることです。 iOS はシステム UI とアプリ UI 要素を非常に明確に区別する必要があるため、理想的には、平均的なスマートフォン ユーザーにとって […] 何かがおかしいように見えることが明らかです、とクラウスは言います。
関連記事を見る マルウェアのビジネス 大規模なサイバー攻撃に備える、国家サイバーセキュリティセンターに警告 Equifax は危険なダウンロードとマルウェアを提供する Web ページを強制的に削除 これは解決が難しい問題であり、Web ブラウザはまだこの問題に取り組んでいます。ポップアップを macOS / iOS のポップアップのように見せる Web サイトがまだあります。そのため、多くのユーザーは [それらは] システム メッセージ [s] であると考えています。
Krause は、ポップアップの代わりに設定アプリでパスワードを入力するようにユーザーに強制するなど、問題に対するいくつかの潜在的な解決策を追加します。 Apple がシステム プロンプトのデザインを変更して、公式の要求であることを示す追加のアイコンを含めるという彼の提案は、より起こりそうです。彼は、以下のいくつかのプッシュ通知で使用されている感嘆符を指しています。
csgo bind マウスホイールにジャンプ
今のところ、開発者は、モバイル フィッシングを防止するためにユーザーが実行できるいくつかの手順をメモしています。一番簡単なのはホームボタンを押すことです。これによりアプリとダイアログが閉じられた場合、それはフィッシング攻撃です。ダイアログとアプリがまだ表示されている場合、それはシステム ダイアログです。
この種の攻撃は、悪意のあるアプリがそれを通過することにかかっていることも注目に値します。App Store のレビュー プロセスと、開発者によるコードのアクティブ化です。 Apple は通常、この種のことでボールを持っており、そのようなガイドラインの違反が検出された場合は措置を講じます。ただし、クラウスは次のことを指摘しています。悪意を持った組織は、プラットフォームの制限を何とか回避する方法を常に見つけます。