ある方法でApple IDのパスワードを簡単に盗まれてしまう恐れがある、として開発者が警鐘を鳴らしています。
Apple IDのポップアップを模倣
iOSのApple IDのパスワード入力画面を真似た、偽の画面を表示させることでApple IDのパスワードを盗む手口をFelix Krause氏が発表しました。
この手口を使い、Apple IDのパスワードを盗んでいるアプリが現時点であるのかは分かっていません。
アプリを使っている際、アプリ内課金などでApple IDへのサインインを求められることがあります。このときに表示される画面を真似て、アプリに偽のメッセージ画面を盛り込めば、悪意のあるアプリ開発者はApple IDのパスワードを盗める、としています。
Apple IDの乗っ取りにはメールアドレスも必要ですが、その入手方法については明記されていません。
偽画面を見極める方法
Krause氏によれば、以下の方法で見分けることができます。
Apple IDのパスワードを求める画面が表示されたときは、ホームボタンを押しましょう。
ホームボタンを押すとアプリとパスワード入力画面が消えてホーム画面に戻れた場合、それは偽の入力画面です。
ホームボタンを押してもアプリ・パスワード入力画面が消えない場合、それはiOS・App Storeの機能によって表示されている、正規の入力画面です。
「iPhoneを探す」が悪用される恐れ
Apple IDの2ファクタ認証を設定していれば、Apple IDの乗っ取りは困難になります。
Apple ID の 2 ファクタ認証 – Apple サポート
ただし「iPhoneを探す」を設定済みの場合、Apple IDのメールアドレスとパスワードがあれば、2ファクタ認証を使うことなく、iPhoneの位置情報は確認できます。
デバイスのロックには、iPhoneに設定しているパスコードが必要です。パスコードを設定していない場合、新たにパスコードが設定されてロックされる恐れがあります。
遠隔消去には2ファクタ認証が必要です。
Appleの対応は不明、まずは自衛を
Appleはアプリを公開・販売前に審査していますが、Krause氏によれば、一定時間が経過したあとに自動で有効になるコードを使ったり、アプリから外部のコードを呼び出す仕組みを悪用したりすることで、審査の目をかいくぐることも可能です。
Appleがこの弱点に対応する予定があるのかは、現時点では分かっていません。
以下の方法で自衛しましょう。
- Apple IDの2ファクタ認証を設定する
- Apple IDのメールアドレス・パスワード入力画面が表示されたら、ホームボタンを押す
- 「iPhoneを探す」を設定済みの場合、iPhoneにパスコードを設定する
参考
iOS Privacy: steal.password – Easily get the user’s Apple ID password, just by asking — Felix Krause
 |
・販売元: iTunes K.K. ・掲載時のDL価格: 無料 ・カテゴリ: ユーティリティ ・容量: 110.5 MB ・バージョン: 1.2 |
