iOSアプリ、ダイアログ偽造でフィッシング詐欺 見分ける方法

AppleのiOSでApple IDのパスワード入力を促す仕組みを悪用し、アプリ内でフィッシング詐欺のポップアップ画面を表示させ、ユーザーのパスワードを盗むことができてしまう問題が見つかったとして、開発者が10月10日のブログで概略を公表した。

この問題は、iOSとAndroid向けの開発ツール「fastlane.tools」を手掛けるフィリックス・クラウス氏が発見した。同氏のブログによると、Apple IDのパスワード入力を促すポップアップ画面は、iOSの更新版をインストールする際などで求められるが、ロック画面やホーム画面だけでなく、例えばiCloudにアクセスしたりアプリ内購入を行う場合などに、アプリ内でも表示されることがある。

だが、この仕組みはアプリによって簡単に悪用できるとクラウス氏は解説する。UIAlertControllerを使ってシステムダイアログそっくりに見せかけたアラート画面を表示させれば、テクノロジーに詳しいユーザーでさえも、それがフィッシング詐欺だと見抜くのは難しいという。

しかも、システムダイアログに見せかけた詐欺ダイアログを表示することは極めて簡単で、どんなiOSエンジニアでも、手早くフィッシングコードを作成できてしまうとクラウス氏は指摘する。詐欺ポップアップでユーザーの電子メールアドレスを表示せずに、パスワードの入力を促すことも可能だとしている。

ユーザーがフィッシング詐欺を見分ける方法としては、ホームボタンを押してアプリと一緒にダイアログが消えれば、それはフィッシング詐欺であり、ダイアログとアプリがまだ表示されていれば、システムダイアログと判断できるという。

モバイルアプリ内のフィッシング詐欺については、まだあまり研究が進んでいないものの、今後はもっと現実的な問題になるだろうとクラウス氏は予想している。
参照元:ヤフーニュース
iOSアプリでのフィッシング詐欺、アラート偽造で簡単に? 開発者が警告
参照先URL:https://headlines.yahoo.co.jp/hl?a=20171011-00000041-zdn_ep-sci

スポンサードリンク

ネットの反応

名無しさん

読んでも意味わからんユーザー多いと思うよ
そういう人も護ってね
名無しさん

やり方がえらい単純やな
AppleStore上のアプリはAppleがチェック済みやと思ったけど
名無しさん

顔認証やら指紋認証やら位置情報やら
その気になればクラウド声紋認証やら
色々あるはずなのに
長くて複雑で自分自身覚えてないID入力をたまーに求める
方式が古すぎるのでは?
名無しさん

ウイルス以前にAPPSTOREの審査で一番最初に落とすべき仕様なのでは?
具体的に現在APPSTOREにそのようなアプリがあるのかないのか教えて欲しい。
名無しさん

とりあえず、appstore関連で、IDとパスワードを求められたら「1回ホームボタンを押す」事が大事と。
記事のタイトルもその方が良かったのでは。
名無しさん

そうは言っても、よく理解していないお年寄りなんかに、スマホを売りつけてる通信会社の方が、常々危険だと思ってしまう。多分にこんな事言われても理解出来ないでしょう。
名無しさん

Appleは安全だと思い込んでいたけど、どうやら最近は違うのかな?
色々と危ない情報がたくさん出てきましたね。
これは考えなくては。
最近盗聴器の報道がなくて安心してない?
名無しさん

イタチごっこですね。
名無しさん

ある日突然、勝手にアップロードを強要して一方的にパスを設定させる警告文が詐欺ツールの雰囲気に似てるんだよな。Noと言えない警告文が正式版なのも問題だと思う。
名無しさん

あいも変わらず、すごく基本的なところでの問題が多いイメージだな
何の問題も発生せず安心して使えるが売りじゃなかったのかね
端末開発も大事だけど、既存ユーザさんを大事にしない傾向は変わらんな
名無しさん

指紋認証なら、全部システムダイアログだろうから、それ以外で直のパス入力をもとめられたら、疑った方がいいかもね
指紋認証もフィッシングにつかえるのだとしたら、指紋認証解除しないとマズイ
名無しさん

自社ビルに金かけずに、新OS出すときはもうちょい考えて欲しい。
普通にアップデート控えてる人だらけでしょ。
名無しさん

昔の銀行のログイン画面をまるごとパクって入力させるのと同じことだけど,見抜くのはより難しそうだね
パソコンなら不用意にリンクや添付を開かないってことになるけど,今は不用意にアプリをインストールしないってことになるのかな
名無しさん

iOSはウィルス等に強い分、こういった使用者を欺くタイプの悪事が増えていくと思う。
システム的に安心な分、使用者のセキュリティ意識が求められるのかもしれない。
結局は、使う人の問題だからなぁ…。
iOS11新機能緊急SOSの使い方と注意点
名無しさん

友人がAppleのアプリは変なのはないからと自信満々に言ってたけど、そうでもないみたいね。
そんな訳ないだろと思ってたけど。
名無しさん

これはこわい。
なんでここで?ってところでポップアップが出てきたりするもんな…。知らない間に写真とか見られてるのかな?サインイン出てきた時気をつけないと。
名無しさん

ダイアログが表示されてる状態で、ホームボタンを押す
「ダイアログが消えた」→詐欺。
「ダイアログが残ってる」→正常
って事かな?

でも、指紋認証で認証した時点で詐欺師側に何らかの情報が送信されたりしないもんなのかな。
とりあえず、被害が出る前に急いでパッチをリリースして欲しいと思う。

名無しさん

利用者サイドで未然に防ぐって ほぼ無理だと思うよ PCに特化した人なら 感覚で対応できる人いてるかもだけど
ならば 提供側が 使命をもって 特定し撲滅する 損害賠償で根絶する意気込みでないとなぁ iosには手を出すなと思わせるくらいでないとな でも ios関係者なら 容易に突破口さぐって 荒稼ぎしてとんずらできるかもな
名無しさん

本当にイタチごっこだな。
iPhone安全神話と言っても、確実に保証されてる物ではないし、そこのところは勘違いしない方がいい。
優劣はあっても、絶対安全なんて物はないしな。
物は使いようって事ですよ。
名無しさん

よく分からんアプリはダウンロードするなってこと?
名無しさん

どないしたらええねん。
名無しさん

こういうのすら分からず、自分で身を守れない人もスマホに変えさせられている。
やって学ぶことも大事だが流出してからではおそいこともある。店員に勧められるまま安易に変更しないことも大事。
名無しさん

何か怪しいメールが来たよ
名無しさん

ホームボタンのないXでの確認方は?
名無しさん

8で10万超える端末を売ってるんだから、消費者に予防を訴えるんじゃなくAPPストアの審査でちゃんと確認するべきでしょ。
もし安全性が疑われるなら今後はアンドロイドに変更するかな~
名無しさん

これ古いiosのやり方で、ios11でも同じやり方なのか謎?
分かる方や知ってる人教えてください。
名無しさん

Appleがチェックしているのはセキュリティよりも自社のビジネスを邪魔しないかが中心。それにウイスルでなくスパイウェア系はチェックにも限界がある。正当な情報収集なのか不当なのかは一概には判断できない。
名無しさん

発見した人、俳優みたいにイケメンやな
名無しさん

それよりもiPadの電源が落ちてしまうのを直して欲しいです。
名無しさん

よくヤフーメールの迷惑メールにきてるね。
似せて作っても発信元がバレバレだけどわからない人もいるのかもね、
名無しさん

説明読んだけど難しい。よー分からんかった
名無しさん

無防備過ぎる
名無しさん

アイホーンはセキュリティ万全だと
聞いていたのに…ポイだな
名無しさん

AppleStoreは指紋認証にしてるので大丈夫。
Amazonも指紋認証。
それでも楽天とかヤフオクとか、国内のショッピング、オークションサイトのアプリは指紋認証に対応してないから注意しないとなぁ。
名無しさん

ハードにばかり力注いでないで、こういう所にもしっかりやってください。
名無しさん

国際的にこういうサイトやアプリ作る奴をもっと厳罰化すればいいのに。
ウィルスと違って犯人を特定するのは簡単なはず。
名無しさん

でも、パスワードがわかっても、ユーザーIDがわからないと意味なくないですか?
名無しさん

顔認証と虹彩認証とかにしてもハックされてダメなのかね
出来たらパスワードよりもそういうのにしたらいいかも
名無しさん

最近なんでもない時にアップルIDのパスワード入力求められるのなんでだろうって思ってた
めんどくさいから絶対やらなかったけど
iPhoneだと油断してるから
注意喚起してほしい
名無しさん

確かに、iOS10くらいになってから、
アプリ内でパスワードの入力を求められる場面が増えたように感じていました。
悪用されると怖いですね。
名無しさん

結局ガラケー最高って事かよ
名無しさん

最近この手のメールがよく届くけど、本物と偽物の判別ができないから全部スルーしてます。
なんとかなりませんかね。
名無しさん

で?だからどうしたらいいの?
名無しさん

iPhoneは危険。もしウイルスに感染しても、自由度がないiPhoneではユーザ側がなんとかしようとしても無理。
名無しさん

iOSは一番安全じゃなかったのか?
まぁ、最初からそんな風には思っていなかったけど。
名無しさん

頻繁に出てくるアレか
アレは見分けつかないわ
名無しさん

結局、ガラケーが一番ってこと?
名無しさん

先生、そ
名無しさん

サイバー攻撃はアイデア勝負。
防御する側が思いもつかない手段で攻めてくる。
名無しさん

問題になると思うんじゃなくてはよ対策せな
名無しさん

ついていけない。
名無しさん

買い物は店に行って買おう。
お金はATM行こ。
名無しさん

見分けがつかないのが一番困るんだよなあ…
名無しさん

Andoroid端末なら問題ない?
名無しさん

分かるのはただiPhoneが安全じゃないって事だね
その他何言ってるか分からん
名無しさん

うん、よくわかった…でも…とりあえず、iOS11.0.2の不具合を何とかしてくれ…。
マジで困ってる…(´Д`:)
名無しさん

時代は変わってるんだから、この手の犯罪に対しても極刑を処すべきだと思うがな
罪が軽すぎるからアホな輩が増えるんだよ
名無しさん

iCloudメールでは受信したことがないが、Macのプロバイダメールにやたらと送信されてくる。
ヘッダーを見るとウクライナやバングラデシュのサーバーを経由するしているのがわかったが、送信元は特定出来なかった。
名無しさん

iPhoneユーザーは情弱が多いと気付いてしまったか
名無しさん

アップルIDの承認コードが届くんやけどなんか関係あるんかな?しらない携帯番号からー
名無しさん

ようするに、ホームボタンを押してダイアログボックスが消えたら詐欺、消えなかったら、正式なダイアログボックス。これでいいの?
説明が回りくどくてよく意味がわかんないんだけど。
名無しさん

気軽にアプリ落とすなって事ですか〜。
まぁ、ホームボタンを押す事で判断できるなら、まだ優しい方ですね…。
名無しさん

対策は
名無しさん

安全性の低いアプリからのログインをブロックしました。
と頻繁に通知が届くのだが?
名無しさん

アップルはウィルスと無縁だってCM流してたよね。
今でも信じてる信者いるんじゃないの?

twitterの反応

100RT iOSアプリでのフィッシング詐欺、ダイアログ偽造で簡単に? 開発者が警告 https://t.co/1JC9ZNk6Lt

— ITmedia NEWS (@itmedia_news) October 11, 2017

スポンサードリンク

同カテゴリ人気記事