iOSはフィッシング攻撃の脆弱性が以前から指摘されている。悪意のあるアプリは正規のiCloudのパスワードの入力ダイアログと同じ物をポッップさせてパスワードを盗みiClodアカウントをハックする。
Felix KrauseがFastlaneと言うiCloudの認証するツールを開発してそれを提供しているがソースコードは公表してない。しかしソースコートが無くともツールを解析して悪用している。
Appleはメールアカウント無しでパスワードのみを要求する事で認証するケースがあり、パスワードのみを盗みハックする事もできる場合がある。
Apple IDのパスワードのフィッシングを防ぐ方法をKrauseが提供している。かれはAppleに対しても現在の認証方法のが以前を提案している一人である。
- パスワード要求ダイアログが表示されたらホームボタンを押す。
- アプリケーションが終了したら、それはフィッシング攻撃である。終了しなければ正規のダイアログである。
- 他の方法は設定へ行ってiCLoudのパスワードを入力する方法だ。
ソース:iDrop News