Разработчик Феликс Краузе нашёл в iOS баг, который позволяет приложениям с помощью системной функции UIAlertController выводить диалоговое окно, несанкционированно запрашивая у пользователя пароль от его учётной записи Apple.

Заметить фишинг на первый взгляд невозможно, поскольку поддельное окно выглядит точно так же, как настоящее. Сравните:



iOS действительно может запрашивать пароль от Apple ID, причём по разным причинам: например, когда недавно установленная iOS обновляется, или если приложение «застряло» во время установки. Многие пользователи вводят этот пароль, не задумываясь, причём даже в тех случаях, когда оно появляется в сторонних приложениях, запрашивая доступ к iCloud, Game Center или покупкам контента.


Краузе полагает, что об этой проблеме неизвестно злоумышленникам, поэтому они её не эксплуатируют. Вероятно, баг будет закрыт в одном из следующих обновлений iOS 11, но предыдущие версии iOS останутся под угрозой.

Распознать фальшивое окно довольно просто. Достаточно нажать на кнопку «Домой»: настоящий диалог с запросом пароля не закроется, а поддельный после этого исчезает вместе с приложением, которое его вывело. Кроме того, рекомендуется использовать двухфакторную аутентификацию и вообще не вводить пароль от Apple ID в выплывающих окнах — его можно указать в системных настройках устройства.



Канал iG в Telegram — t.me/iguides_ru