Разработчик Феликс Краузе нашёл в iOS баг, который позволяет приложениям с помощью системной функции UIAlertController выводить диалоговое окно, несанкционированно запрашивая у пользователя пароль от его учётной записи Apple.
Заметить фишинг на первый взгляд невозможно, поскольку поддельное окно выглядит точно так же, как настоящее. Сравните:
iOS действительно может запрашивать пароль от Apple ID, причём по разным причинам: например, когда недавно установленная iOS обновляется, или если приложение «застряло» во время установки. Многие пользователи вводят этот пароль, не задумываясь, причём даже в тех случаях, когда оно появляется в сторонних приложениях, запрашивая доступ к iCloud, Game Center или покупкам контента.
Краузе полагает, что об этой проблеме неизвестно злоумышленникам, поэтому они её не эксплуатируют. Вероятно, баг будет закрыт в одном из следующих обновлений iOS 11, но предыдущие версии iOS останутся под угрозой.
Распознать фальшивое окно довольно просто. Достаточно нажать на кнопку «Домой»: настоящий диалог с запросом пароля не закроется, а поддельный после этого исчезает вместе с приложением, которое его вывело. Кроме того, рекомендуется использовать двухфакторную аутентификацию и вообще не вводить пароль от Apple ID в выплывающих окнах — его можно указать в системных настройках устройства.
Канал iG в Telegram — t.me/iguides_ru
+291
Эпл давно не торт... Не буду начинать холивар, просто после 5ки, кроме 7+ ничего не было стоящего, и нет и не будет через месяц.