2017 年 10 月 12 日午後 5 時ハイテク
iPhoneを使っているときは、App Storeアカウントのパスワードを尋ねられることがよくあります。購入を認証するため、アプリケーションをダウンロードするため、あるいは単に自分がそこにいるかどうかを確認するためのセキュリティ対策として、iTunes パスワードを入力するのは日常的なことのように感じるかもしれません。ただし、注意してください。特に悪質なフィッシング手法が登場しました。
慎重な、非常に慎重なフィッシング
その作成者である Félix Krause は、iOS ユーザーに害を及ぼすためにこのプログラムを設計したのではなく、むしろ警告するためにこのプログラムを設計しました。開発者は、少しの作業で、アプリケーションを開くときにパスワードを要求するダイアログ ボックスを再作成できることを証明しました。したがって、不注意なユーザーはそれを入力し、簡単にそれを開示してしまいます。わずか 30 行のコードで、強制せずにパスワードを収集する良い方法です。
「ポップアップ コードは公開しないことにしました。iOS エンジニアなら誰でも、30 行未満のコードで独自のフィッシング コードを作成できます。」
コードが明示的に指定されていなくても、アイデアは存在するため、Krause 氏によれば、アプリケーションは比較的簡単であるようです。心配ない、自分の身を守るのは簡単ですが、最低限の注意と厳しさが必要です。それで十分です:
- ホーム ボタンを押して、アプリケーションが停止するかどうかを確認します。
- アプリケーションとダイアログ ボックスが閉じた場合、それはフィッシングです。
- アプリケーションとダイアログ ボックスがまだ表示されている場合、これは正常です。ダイアログ関連システムは、アプリケーションとは異なるプロセスを通じて動作します。
- ポップアップに PIN を入力しないでください。代わりに、キャンセルして設定を手動で開きます。このメカニズムによりアクションが保護され、フィッシングの試みにさらされることがなくなります。
- 「キャンセル」ボタンを押した場合でも、アプリケーションはパスワードにリンクされているフィールドに存在するコンテンツに引き続きアクセスできます。最初の数文字だけを入力したとしても、おそらくすでに手遅れになっているでしょう。
Apple はダウンロード プラットフォームに表示されようとするアプリケーションを監視するために可能な限りフィルタリングを行っていますが、検証後にコード行を変更できる可能性が非常に高くなります。検証後の公開ツールや Apple による承認後のコード行の導入など、いくつかのヒントが Krause によって提供されます。いずれにしても、Felix Krause が、パスワードに飢えている何千人もの開発者に悪いアイデアを与えただけではないことを祈りましょう。
