Каждый пользователь iOS как минимум один раз видел всплывающее окно с запросом ввести свой юзернейм и/или пароль, и обычно они поступают от самой Apple.
Один разработчик подумал о том, что с помощью такого окна можно легко совершить фишинг-атаку. Феликс Краузе создал концепцию, доказывающую, что разработчики могут легко замаскировать атаку под всплывающее окно от Apple.
Как говорит Краузе, пользователи привыкли видеть такие окна даже вне приложений iTunes и App Store. Он использовал UIAlertController и воссоздал дизайн стандартного запроса ввести пароль или юзернейм, который потом можно использовать для фишинга.
«iOS запрашивает у пользователей пароль от iTunes по многим причинам, самыми популярными из которых являются недавно обновлённое ПО и приложения, зависшие во время установки.
В результате пользователи на автомате вводят свой Apple ID и пароль каждый раз. Но такие окна всплывают не только на экране блокировки и главном экране, но и в некоторых приложениях, нуждающихся в доступе к iCloud, GameCenter или покупкам.
Этим легко может воспользоваться любое приложение, поскольку с помощью UIAlertController можно с точностью воссоздать стандартное диалоговое окно».
В большинстве случаев разработчику понадобится почтовый адрес пользователя, чтобы получить его пароль, но иногда не нужен даже он.
Краузе говорит, что к таким вещам нужно относиться внимательнее. Когда не уверены, просто закрывайте окно нажатием кнопки Home. Если оно не исчезнет, это официальное окно Apple, а если исчезнет – это окно приложения, и вводить свои данные не стоит.
Такой тип атак не нов, и Apple тщательно проверяет приложения перед тем, как добавить их в App Store. Но быть внимательным никогда не помешает.
Краузе сообщил Apple о своей концепции.