iOS: セキュリティ研究者のフェリックス・クラウス氏は、「それ」が iPhone ユーザーの安心感を意味するのであれば、今月それを打ち消します。私たちは最近、彼の 2 つのセキュリティ警告について取り上げました。アプリにカメラの使用許可を与えると、次のようなこともできます。あなたの位置を追跡するそしてさらにこっそり写真やビデオを撮る。ここで彼は、注意しないと、どのアプリでもあなたの Apple ID を簡単に盗むことができます。
クラウス氏によると、問題は、どのアプリも Apple のパスワードダイアログを簡単に模倣できることだという。 (彼は概念実証も作成しました。) そして、iPhone または iPad を使用している場合は、Apple がほぼ常にパスワードを要求していることをご存知でしょう。そのため、ユーザーはパスワードに対して鈍感になり、尋ねられたときはいつでも入力するようになります。アプリは、次のように偽のパスワード プロンプトを表示して突然侵入する可能性があります。
これを回避する簡単な方法がありますが、携帯電話がパスワードを要求するたびにパスワードを覚えておく必要があります。ホームボタンを押してアプリを終了します。アプリが閉じてパスワード プロンプトが消える場合は、それは偽物です。パスワード ポップアップが実際に Apple からのものである場合、パスワード ポップアップは、 を押すまで画面上に表示されます。サインインまたはキャンセル。
Apple ID の 2 要素認証を有効にしている場合は、まだ少し安全です。しかし、特にパスワードを再利用した場合、またはパスワードを知っている誰かがデバイスに物理的にアクセスする危険がある場合、パスワードを渡すことは依然として非常に危険です。
このフィッシング攻撃は、Apple のアプリストアが排除すべきものの 1 つです。しかし、クラウス氏は、これまでにも多くのアプリが悪質な動作で忍び寄ってきたことを指摘し、アプリがこの攻撃を Apple から隠す方法さえ列挙している。同氏は、Apple には本物のパスワード要求と偽のパスワード要求を明確に区別できる、より良い設計を顧客に提供する義務があると考えています。それまでは、ユーザーは警戒し続ける必要があります。
