Неверные политики паролей Apple повышают вероятность атак

Безопасность iOS в последнее время часто упоминается в новостях, особенно с последним обновлением ОС. Похоже, что негативное внимание, которое компания сейчас привлекает, вызвано ею самой из-за ошибочной политики Apple в отношении паролей. Проблема кажется, по крайней мере, в настоящее время, в том, как устройство iOS предлагает пользователям вводить пароли.

В сообщении блога, озаглавленном «Конфиденциальность iOS: Steal.password», разработчик мобильного приложения Феликс Краузе разорвал подсказки пароля Apple, заявив, что хакер может вежливо спросить «пользователей, они, вероятно, просто передадут свои учетные данные, поскольку они обучены этому». Краузе имеет в виду тот факт, что хакеры, использующие фишинговую атаку, потенциально могут воспользоваться частыми всплывающими подсказками пароля Apple. Как утверждает Феликс:

Пользователи обучены просто вводить свой пароль Apple ID всякий раз, когда iOS предлагает вам это сделать. Однако эти всплывающие окна отображаются не только на экране блокировки и домашнем экране, но и внутри случайных приложений, например, когда они хотят получить доступ к iCloud, GameCenter или покупкам в приложении.

Проблема заключается в том, что хакер может легко использовать приложение, просто показав UIAlertController, чтобы имитировать приглашение, запрашивающее пароль и идентификатор Apple. Чтобы доказать свою точку зрения, Краузе разработал экспериментальную атаку в инфраструктуре iOS, которая позволила ему с высокой точностью имитировать подсказки, которые Apple использует для запроса учетных данных.

Как показано на изображении ниже, нет заметной разницы между законным запросом и фишинговой атакой:

Вероятность того, что эта экспериментальная атака будет использована в приложениях для iOS, высока. Легкость, с которой Краузе удалось спроектировать эту атаку, не случайность, а, скорее всего, что-то хорошо известное разработчикам вредоносных приложений. Феликс отмечает, что, хотя Apple отлично справляется с защитой пользователей от фишинговых атак, весьма вероятно, что после проверки может произойти атака (как и недавние атаки на приложения Google Play). Примеры приведенных методов атаки включали использование «инструмента удаленной настройки для включения функции только после того, как приложение будет одобрено Apple» и с помощью триггера на основе времени «пропустить запуск определенного кода в течение первой недели после отправки двоичного файла, что означает код будет работать только после того, как приложение будет одобрено или отклонено».

Феликс Краузе рекомендует Apple принять политику, согласно которой вместо сбора учетных данных через приглашение пользователю предлагается открыть приложение «Настройки». Кроме того, Краузе рекомендует пользователям, получив запрос на ввод учетных данных, нажать кнопку «Домой». Если после этого всплывающее окно закрывается, это фишинговая атака, поскольку «если диалоговое окно и приложение все еще видны, то это системный диалог. Причина этого в том, что системные диалоги запускаются в другом процессе, а не как часть какого-либо приложения для iOS».

Мораль этой истории заключается в том, что независимо от того, насколько тщательно проверяет любую компанию, вредоносные приложения могут и будут атаковать ваши данные. Не давайте им шанса, если этого можно избежать.