iPhoneを使っていて普段よく見かけることのある「パスワードを入力してください」のポップアップ表示されるダイアログ画面が、実はiOSアプリの開発者またはその知識のある人物であれば、いとも簡単に模倣することができてしまうことがわかりました。そして、Apple IDパスワードを盗もうとする悪意のあるこのフィッシング攻撃を検出することはほとんど不可能であることが実証されています。
この報告はiOS開発者で、iOSやAndroid開発支援ツールFastlaneの創設者であるFelix Krause氏によってもたらされました。この方法をある程度開発知識のある第三者が悪用した場合、ユーザーのiCloudに登録されているApple IDのパスワードがいとも簡単に盗まれる危険性が高いとのことです。ただ、Felix Krause氏は警鐘を鳴らすとともに、その解決方法、偽のダイアログ画面であることを見抜くための方法も明らかにしてくれています。
上記の画像は、Krause氏が作成したパスワードを確認するダイアログ画面のサンプルとのことです。左右、どちらが偽物かわかりますか?答えは、右サイドの画像が偽物なのですが、どう見ても左サイドの本物のダイアログ画面との違いを判別することは不可能のように思われます。
また、Apple IDのアカウント「メールアドレス」を表示させないパターンを表示させることも簡単にできてしまい、こちらも本物と偽物をくべるすることは至難です。
このようなパスワード入力を求めるダイアログ画面は日常的に表示され、その都度何気なく、そしてなんの疑いもなくパスワードを入力しがちです。このことをユーザーは心に留めておく必要があるかもしれません。つまり、パスワード入力を元pめる何気ないダイアログ画面には、これからは注意する必要があるということです。それでは、どうしたらこのダイアログ画面の真偽を見分けることができるのでしょうか?
Krause氏は、この真偽を見分けるには「ダイアログが表示されたら、一度ホームボタンを押せ」とのことです。ホームボタンを押してもなお表示されていればiOSが表示している本物のダイアログであり、表示が消えるようなことがあれば偽物のダイアログであるとのことです。こうした表示の差異は内部プロセスの異なることによるものとのことです。
これからはダイアログの指示に従ってパスワードを安易に入力する前に、必ずこのような確認ダイアログ画面が表示された場合には、一度ホームボタンをタップする習慣をつけるようにしましょう。
