Баг в iOS, позволяет украсть пароль от Apple ID

Разработчик Феликс Краузе обнаружил в операционной системе iOS баг, с помощью которого злоумышленники могут заполучить логин и пароль от вашего Apple ID.

Как объясняет Краузе, iOS запрашивает у пользователя свой пароль iTunes по многим причинам. Наиболее распространенными из них являются: обновление системы, проблемы с установкой приложения, покупка внутриигровых средств, доступ сторонних приложений к iCloud или Game Center. Пользователи чаще всего вводят свои данные не задумываясь. Отличить поддельное уведомление от настоящего попросту невозможно.

«В отображении диалогового окна, которое выглядит так же, как системное всплывающее окно, нет ничего сложного. Нет никакого волшебного или секретного кода. Это буквально примеры, представленные в документах Apple, с помощью специального текста. Я решил не раскрывать исходный код всплывающего окна, однако обратите внимание, что это менее 30 строк кода, и каждый разработчик iOS сможет быстро внедрить это в своё приложение», – пояснил Феликс Краузе.

Краузе полагает, что об этом баге пока неизвестно злоумышленникам, поэтому они его и не эксплуатируют. Вероятнее всего проблема будет решена с выходом следующего обновления iOS 11.

Для того чтобы распознать фальшивое необходимо нажать на кнопку «Домой». Если после этого всплывающее окно скрывается с дисплея, оно привязано к приложению и является элементом фишинговой атаки. Если окно остаётся на экране, значит это системный запрос от Apple. Кроме того, рекомендуется использовать двухфакторную аутентификацию и вообще не вводить пароль от Apple ID в всплывающих окнах, а указать его в системных настройках устройства.