セキュリティ研究家Felix Krause氏が「iOS Privacy: steal.password - Easily get the user's Apple ID password, just by asking」と題したブログ記事を公開。iOSのポップアップダイアログを悪用して、Apple IDのパスワードが不正に取得されてしまう危険性があることを指摘しています(MacRumors)。
同氏は、AppleがApple IDのパスワードを要求する際に表示する公式のポップアップダイアログと同様のダイアログを、悪意のアプリ作者が用意に真似できてしまうことを指摘しています。例えば上の画像は左が本物、右がフィッシングアプリのものですが、まったく同じ表示になってしまうことがわかります。
Krause氏によるとAppleの公式ポップアップのように見えるダイアログを作成するのは簡単で、UIAlertControllerを使用した30行未満の非常に簡単なソースコードで実現できてしまうとのこと。実際のサンプルコードは公開されていませんが、iOSアプリ開発をかじったことがある方ならば、作成は難しくなさそうです。
また以下のような少し異なるバージョンのサンプルも掲載されています(左が公式/右が偽物)。
ポップアップ詐欺は新しい手法ではありませんが、AppleはiCloudにアクセスする際、頻繁にこのようなダイアログを表示する事もあり、技術に詳しくないユーザーの場合、悪意のあるアプリのダイアログに安易にパスワードを入力してしまう危険性が指摘されています。
Krause氏は、ユーザーがこの手法から自分自身を守る方法として、ポップアップが表示された後、一度ホームボタンを押してみることを提案しています。ポップアップが消えればアプリがエミュレートしたダイアログで、そうでなければAppleのシステムダイアログだと区別できるからです。
またこの問題を解決するために、Apple IDのパスワードを問い合わせるとき、直接入力させるのではなく設定画面を開く方法や、そもそもユーザーに定期的にパスワードを問い合わせないよう修正すること、ダイアログにアプリのアイコンを表示する変更などの方法が提案されています。
建前としてAppleがApp Storeで公開しているアプリは全て審査済みで、危険なプリが存在しないことになっていますが、審査の目は完全ではなく、このような悪用手法が存在することは知っておくべきかもしれません。