ИБ-эксперт Феликс Краузе сообщил об уязвимости, которая дает возможность похищать данные Apple ID, используя поддельное диалоговое окно iOS.
iOS в различных случаях отправляет пользователям запросы на получение данных Apple ID, чтобы усыпить бдительность владельцев устройств. Зачастую это происходит либо при инсталляции очередного патча для операционной системы, либо, когда в ходе установки приложений возникает ошибка. Такие всплывающие окна возникают в некоторых программах при запросе доступа к GameCenter, iCloud, а также к функционалу покупок внутри приложения.
В итоге пользователи начинают привыкать к вводу данных Apple ID при каждом запросе от iOS. Эта лазейка может быть использована хакерами, которые заменят диалоговое окно системы на внешне идентичное фишинговое окно. Если ввести информацию в такую форму, то она попадет в распоряжение киберпреступников.
Как утверждает Краузе, подделать окно очень легко. У хакеров нет необходимости в разработке какого-либо специального кода, нужно лишь воспользоваться примерами, приведенными в документации Apple, внеся туда небольшие изменения. Исходный код не превышает 30 строк. По мнению Краузе, любой разработчик iOS-приложений может быстро создать такое фишинговое программное обеспечение.
Краузе не опубликовал PoC-код, посчитав, что ошибка сотрудников Apple может нанести большой ущерб. Эксперт сообщил, что фишинговая атака может быть выявлена, если закрыть приложение после появления всплывающего окна. Настоящее диалоговое окно останется на экране.
