2017年10月11日 13時00分 セキュリティ

iOSの偽ダイアログを出してパスワードを盗み取るフィッシングが存在、騙されないための対策はコレ



iPhoneなどの画面に時おり現れる「パスワードを入力してください」というダイアログが、実は非常に簡単な手口によって第三者が模倣できることが専門家の調査で明らかになっています。この方法が悪用されるとユーザーのiCloudのパスワードがいとも簡単に盗み取られてしまう危険性が高いのですが、同時に単純な方法で偽のダイアログであることを見抜く方法も明らかにされています。



iOS Privacy: steal.password - Easily get the user's Apple ID password, just by asking — Felix Krause

https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking



Watch Out! Difficult-to-Detect Phishing Attack Can Steal Your Apple ID Password

https://thehackernews.com/2017/10/apple-id-password-hacking.html



この問題を公開したのは、iOSデベロッパーであり、アプリ制作支援ツールの「fastlane」を開発したスタートアッパーのFelix Krause氏。以下のキャプチャ画像はKrause氏が作成したパスワード確認ダイアログのサンプルなのですが、iOSが表示する本物のダイアログ(左)と、ある手法によって模倣されたニセのダイアログ(右)には全くといって良いほど違いがないことがわかります。





このダイアログは、ホーム画面やアプリ起動中の画面にでも割り込んで表示することが可能。





また、アカウントのEメールアドレスが表示されないパターンのダイアログもこのとおり本物と寸分たがわず表示されていることがわかります。





アカウントのパスワードを求めるダイアログは、特にiOSをアップデートした時やパスワードを変更した際にたびたび表示されることがあり、iPhoneユーザーなら「また出た」とウンザリしてしまった経験がある人もいるはず。つい、「はいはい、わかりましたよ(怒)」とパスワードを入力してしまいがちですが、このような手口でダイアログが表示される可能性があることも知っておく必要があります。この動作はiOSのクラス「UIAlertController」を使うことで再現できるものですが、Krause氏はセキュリティ面を理由に実際にこのダイアログを表示させる手法を非公開としています。



あまりに本物とソックリなため、おそらく専門家でも外観から判断することは非常に困難だと思われるニセのダイアログですが、実はKrause氏は簡単な方法でニセモノであることを見抜く方法を併せて公開しています。それは、「ダイアログが表示されたらホームボタンを押してみる」というもの。もし、iOSが表示しているダイアログであればそのまま画面に表示されたままになりますが、ニセのダイアログである場合はホームボタンを押すことで表示が消え、ホーム画面に戻るとのこと。これは、ダイアログ表示の内部プロセスが異なるために生じている差異だそうですが、今後このような確認ダイアログが表示された場合は、まずホームボタンを押してみるのが良さそうです。

