Разработчик Феликс Краузе обнаружил в операционной системе iOS баг, позволяющий злоумышленникам украсть логин и пароль от Apple ID. Для этого используется системная функция UIAlertController, отвечающая за вызов всплывающего уведомления с запросом конфиденциальных данных. Так как такое сообщение — не редкость для пользователей iOS, то зачастую они вводят требуемую информацию, не задумываясь. Как оказалось, это может привести к потере личных данных, денежных средств и других малоприятным последствиям. Ниже мы рассмотрим способ борьбы с этим багом.

Официальное (слева) и поддельное (справа) уведомления

Как видно на скриншоте выше, отличить поддельное уведомление от настоящего попросту невозможно. А так как в iOS такое окно может появиться при обновлении системы, проблеме с установкой приложения, покупке внутриигровых средств, доступе сторонних приложений к iCloud или Game Center и в ряде других ситуаций, то пользователи чаще всего вводят свои данные и ни о чём не задумываются.

«В отображении диалогового окна, которое выглядит так же, как системное всплывающее окно, нет ничего сложного. Нет никакого волшебного или секретного кода. Это буквально примеры, представленные в документах Apple, с помощью специального текста. Я решил не раскрывать исходный код всплывающего окна, однако обратите внимание, что это менее 30 строк кода, и каждый разработчик iOS сможет быстро внедрить это в своё приложение», — заявил Феликс Краузе.

Официальное (слева) и поддельное (справа) уведомления

Он отмечает, что на протяжении долгих лет такой способ кражи личных данных был большой проблемой для настольных браузеров — сайты точно так же отправляли поддельные всплывающие окна, которые были почти идентичны обычным системным уведомлениям. С iOS сейчас происходит та же ситуация. Феликс говорит, что он уже рассказал об этом Apple, но предупредил, что сейчас компания не может запретить ввод паролей во всплывающих окнах.

Пока Apple не исправит эту ошибку, Феликс Краузе предлагает следующие способы, как обезопасить себя:

1. При появлении такого уведомления нажать кнопку «Домой» и проверить, скрывается ли оно. Если приложение свернулось вместе с всплывающим окном, то это была фишинговая атака. Если же уведомление и программа остаются открытыми, то это системное сообщение. 
2. Не вводить данные учётной записи через всплывающие окна. Вместо этого следует отменить процесс и ввести пароль через приложение «Настройки».
3. Если вы уже набрали логин и пароль, но потом нажали «Отмена», злоумышленники всё равно получат ваши данные.

Источник: krausefx.com