Appleスタイルの偽ポップアップダイアログによるフィッシング詐欺を未然に防ぐ方法

開発者のFelix Krause氏が、Appleスタイルの偽のポップアップを使ってiPhoneユーザーのApple IDとパスワードにアクセスする方法を示しました。

開発者は、パスワードのシステム要求の設計をエミュレートする「UIAlertController」APIを使用して、多くのiOSユーザーを欺くことのできるフィッシングツールと同じインターフェイスを作成できます。(上の画像の左が本物で右が偽物ですが見分けがつきません)

システムポップアップのように見えるダイアログを表示するのは非常に簡単で、難しいコードは含まれていません。文字通りAppleのドキュメントで提供されているカスタムテキストの例で作成できます。

Krause氏によると偽のシステムポップアップ・ダイアログは、30行未満のコードで作成可能だとのことです。
従って悪意のある開発者がアプリにこのようなコードを仕込んで、IDとパスワードを盗み取るフィッシング詐欺をする可能性があります。

通常は、このようなポップアップ偽装したアプリは、App Storeの審査ではじかれるはずですが、他の例でも明らかなようにApp Storeの審査は完璧ではありません。

そこでユーザー自身が本物のシステムポップアップか偽のシステムポップアップかを確認することも重要です。その方法は簡単でアプリを終了させてもポップアップが消えなければ、本物のシステムポップアップだとのことです。

また、二要素認証を有効にしていれば、偽物ならば、ほかのデバイスからの認証を求められないので偽物と分かります。このように二要素認証が根本的な解決法ですが、面倒なので導入を控えている人も多いと思います。

Krause氏は、この問題をAppleに報告し、簡単に偽のシステムポップアップ作らせない方法を提案しているとのことです。

(via MacRumors