iOSの偽ダイアログを出してパスワードを盗み取るフィッシングが存在、騙されないための対策はコレ

iOSの偽ダイアログを出してパスワードを盗み取るフィッシングが存在、騙されないための対策はコレ

  • GIGAZINE
  • 更新日:2017/10/11
No image

iPhoneなどの画面に時おり現れる「パスワードを入力してください」というダイアログが、実は非常に簡単な手口によって第三者が模倣できることが専門家の調査で明らかになっています。この方法が悪用されるとユーザーのiCloudのパスワードがいとも簡単に盗み取られてしまう危険性が高いのですが、同時に単純な方法で偽のダイアログであることを見抜く方法も明らかにされています。

iOS Privacy: steal.password - Easily get the user's Apple ID password, just by asking — Felix Krause

https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking

Watch Out! Difficult-to-Detect Phishing Attack Can Steal Your Apple ID Password

https://thehackernews.com/2017/10/apple-id-password-hacking.html

この問題を公開したのは、iOSデベロッパーであり、アプリ制作支援ツールの「fastlane」を開発したスタートアッパーのFelix Krause氏。以下のキャプチャ画像はKrause氏が作成したパスワード確認ダイアログのサンプルなのですが、iOSが表示する本物のダイアログ(左)と、ある手法によって模倣されたニセのダイアログ(右)には全くといって良いほど違いがないことがわかります。

No image

このダイアログは、ホーム画面やアプリ起動中の画面にでも割り込んで表示することが可能。

No image

また、アカウントのEメールアドレスが表示されないパターンのダイアログもこのとおり本物と寸分たがわず表示されていることがわかります。

No image

アカウントのパスワードを求めるダイアログは、特にiOSをアップデートした時やパスワードを変更した際にたびたび表示されることがあり、iPhoneユーザーなら「また出た」とウンザリしてしまった経験がある人もいるはず。つい、「はいはい、わかりましたよ(怒)」とパスワードを入力してしまいがちですが、このような手口でダイアログが表示される可能性があることも知っておく必要があります。この動作はiOSのクラス「UIAlertController」を使うことで再現できるものですが、Krause氏はセキュリティ面を理由に実際にこのダイアログを表示させる手法を非公開としています。

あまりに本物とソックリなため、おそらく専門家でも外観から判断することは非常に困難だと思われるニセのダイアログですが、実はKrause氏は簡単な方法でニセモノであることを見抜く方法を併せて公開しています。それは、「ダイアログが表示されたらホームボタンを押してみる」というもの。もし、iOSが表示しているダイアログであればそのまま画面に表示されたままになりますが、ニセのダイアログである場合はホームボタンを押すことで表示が消え、ホーム画面に戻るとのこと。これは、ダイアログ表示の内部プロセスが異なるために生じている差異だそうですが、今後このような確認ダイアログが表示された場合は、まずホームボタンを押してみるのが良さそうです。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

Appleカテゴリの人気記事

グノシーで話題の記事を読もう!
『iPhone 8』の隠れた新機能、NFC決済を試してみた!
Appleのティム・クックCEO「Mac miniは重要な製品になる」
「iPhone X」と「iPhone 8」買い替えるならどっち?両端末を実際に試したスマホ賢者たちがジャッジ!
【iPhone X】ディズニーデザインケースが早くも登場! 両面ガラスを可愛く守る6種類
Appleが開発中の自動運転システム、車種を問わずに後付け可能か?
  • このエントリーをはてなブックマークに追加