Новый баг в iOS позволяет злоумышленникам угонять пароли от Apple ID

Обращаем ваше внимание, что статье более пяти лет и она находится в нашем архиве. Мы не несем ответственности за содержание архивов, таким образом, может оказаться необходимым ознакомиться и с более новыми источниками.
Редактор: rus.postimees.ee
Copy
Фото статьи
Фото: Artyom Korotayev/Artyom Korotayev/TASS

Разработчик Феликс Краузе обнаружил в операционной системе iOS баг, позволяющий злоумышленникам украсть логин и пароль от Apple ID.

Для этого используется системная функция UIAlertController, отвечающая за вызов всплывающего уведомления с запросом конфиденциальных данных. Так как такое сообщение — не редкость для пользователей iOS, то зачастую они вводят требуемую информацию, не задумываясь, пишет 4pda.ru. Как оказалось, это может привести к потере личных данных, денежных средств и других малоприятным последствиям. Ниже мы рассмотрим способ борьбы с этим багом.

Apple iOS

Официальное (слева) и поддельное (справа) уведомления

Как видно на скриншоте выше, отличить поддельное уведомление от настоящего попросту невозможно. А так как в iOS такое окно может появиться при обновлении системы, проблеме с установкой приложения, покупке внутриигровых средств, доступе сторонних приложений к iCloud или Game Center и в ряде других ситуаций, то пользователи чаще всего вводят свои данные и ни о чем не задумываются.

«В отображении диалогового окна, которое выглядит так же, как системное всплывающее окно, нет ничего сложного. Нет никакого волшебного или секретного кода. Это буквально примеры, представленные в документах Apple, с помощью специального текста. Я решил не раскрывать исходный код всплывающего окна, однако обратите внимание, что это менее 30 строк кода, и каждый разработчик iOS сможет быстро внедрить это в свое приложение», — заявил Феликс Краузе.

Apple iOSОфициальное (слева) и поддельное (справа) уведомления

Он отмечает, что на протяжении долгих лет такой способ кражи личных данных был большой проблемой для настольных браузеров — сайты точно так же отправляли поддельные всплывающие окна, которые были почти идентичны обычным системным уведомлениям. С iOS сейчас происходит та же ситуация. Феликс говорит, что он уже рассказал об этом Apple, но предупредил, что сейчас компания не может запретить ввод паролей во всплывающих окнах.

Пока Apple не исправит эту ошибку, Феликс Краузе предлагает следующие способы, как обезопасить себя:

  1. При появлении такого уведомления нажать кнопку «Домой» и проверить, скрывается ли оно. Если приложение свернулось вместе с всплывающим окном, то это была фишинговая атака. Если же уведомление и программа остаются открытыми, то это системное сообщение;
  2. Не вводить данные учетной записи через всплывающие окна. Вместо этого следует отменить процесс и ввести пароль через приложение «Настройки»;
  3. Если вы уже набрали логин и пароль, но потом нажали «Отмена», злоумышленники все равно получат ваши данные.

Ключевые слова

Наверх