Разработчик Феликс Краузе продемонстрировал доказательство возможности проведения фишинговой атаки на iOS, которая позволяет украсть сведения об идентификаторе Apple ID и пароле пользователя.
Как объясняет Краузе, пользователи iPhone и iPad привыкли к официальным запросам Apple о своем Apple ID и пароле для совершения покупок и доступа к iCloud, даже если этот запрос демонстрируется не в приложениях App Store или iTunes. Сторонние разработчики могут воспользоваться UIAlertController для копирования дизайна системного запроса пароля и воспроизвести идентичный интерфейс для фишинговых инструментов, которые смогут обмануть многих пользователей iOS.
Вывести диалог, который как две капли воды похож на системный всплывающий запрос пароля, достаточно легко. Для этого не потребуется создавать какой-либо сложный специфический код. Соответствующие примеры приводятся в документации Apple. Фактически, любой iOS-разработчик сможет быстро создать свой собственный фишинговый код, который будет занимать менее 30 строчек, заверяет Краузе.
Хотя некоторым системным уведомлениям требуется, чтобы разработчик имел адрес электронной почты пользователя Apple ID, есть также всплывающие уведомления, которые не требуют электронной почты и могут восстановить пароль.
-
-