Новая уязвимость iOS позволяет украсть ваш Apple ID

Новая уязвимость iOS позволяет украсть ваш Apple ID

@sciencetechnics

Если вы пользуетесь iOS-устройством, то наверняка бывали случаи, когда появлялось диалоговое окно, в котором вам необходимо указать Apple ID и пароль. Такое окно чаще всего появляется после установки обновления iOS или нового приложения, которому необходим доступ в iCloud или покупкам в AppStore. Рядовые пользователи знают, что это системное окно iOS, поэтому спокойно вводят свои учетные данные на автомате, ничего не подозревая. А зря!

Как это работает.

Разработчик Феликс Краузе опубликовал в своём блоге детальное описание новой уязвимости, благодаря которой пользователи iOS-девайсов могут быть подвержены фишинг-атаке. Диалоговое окно, о котором было написано выше, может создать любой разработчик, добавив в своё приложение всего 30 строк кода (сам код в блоге, естественно, не был опубликован).

Официальное уведомление:

Поддельное уведомление:

Таким образом, скачав какой-нибудь новый плеер для ВК, можно слить данные своей учетной записи злоумышленникам. Да как такое возможно? Ведь все приложения проверяются модераторами в AppStore, и вообще, Apple уделяет огромное внимание безопасности своих пользователей!

По словам Феликса, добавить опасный код в приложение возможно даже после его одобрения в магазине AppStore.

Как защитить себя.

Пока Apple никак не отреагировала на обращение разработчика, поэтому важно соблюдать меры предосторожности, чтобы не попасться на удочку мошенников.

  • Во время появления всплывающего окна в приложении нажмите кнопку «домой». Если окно исчезает вместе с приложением, то это фишинг-атака. А если будет отображаться, то это системное уведомление iOS. Все дело в том, что всплывающие системные уведомления являются отдельным процессом, а не частью приложений.
  • Не вводите свои учетные записи во всплывающие окна. Лучше сверните все приложения, идите в настройки и проверьте действительно ли необходим ввод учетных данных. Это тоже самое, как не переходить по ссылкам в почтовых рассылках, а вводить адрес нужного сайта вручную.