iOSのメールを開くとパスワードを求めるポップアップに注意!!(フィッシング)

iPhoneやiPad上でメールを読んでいる時にポップアップが表示され、iCloudに再ログインするように求める内容が表示された場合は注意が必要だ。

 

セキュリティ研究者のJan Soucek氏はiOSのメールアプリでバグを発見した。バグの内容はメールを開いた時に、攻撃者が遠隔HTMLコードを実行することができるというものだそう。

iCloudのパスワードを求められる

このコードを使用すると簡単にiCloudのログインの画面を偽装し、ユーザーを騙してApple IDのアカウント情報を入手できるという。

 

iOSメールアプリにおけるフィッシング攻撃

動画の内容では具体的にはこうだ。

  1. メールを受信したので受信したメールを開くとiCloudにパスワードを求められる
  2. ユーザーがログアウトしてしまっていたのかと勘違いしパスワードを入力する
  3. OKをタップすると一瞬Safariが起動する(恐らくこの間に送信)
  4. すぐに新たなメールが来て開くと「ありがとう!パスワードは(Pass123)だね!」

 

iCloud以外のいろんなサイトやサービスも

iOSデバイスが再度ログインするように促すことは珍しくないが、このコードはiCloud以外のどんなウェブサイトまたはサービスでも偽装することができるという。

SoucekはiOSの8.1.1のバグを見つけたのでAppleとバグレポートを提出すると言った。そして面白いことに彼はAppleにバグを修正する時間を与え、詳細は明かさなかったという。

 

そして現在ではSoucek氏はそのコードをGitHubに証拠としてアップロードしている。Appleが急いで修正にはいるはずであるが、すでにGitHubに公開されているということは悪用される可能性も十分あるため注意しよう。

via:9to5mac