【注意】Apple IDを騙し取るアプリの手口と対策

【注意】Apple IDを騙し取るアプリの手口と対策


ある方法でApple IDのパスワードを簡単に盗まれてしまう恐れがある、として開発者が警鐘を鳴らしています。

Apple IDのポップアップを模倣

iOSのApple IDのパスワード入力画面を真似た、偽の画面を表示させることでApple IDのパスワードを盗む手口をFelix Krause氏が発表しました。

この手口を使い、Apple IDのパスワードを盗んでいるアプリが現時点であるのかは分かっていません。

アプリを使っている際、アプリ内課金などでApple IDへのサインインを求められることがあります。このときに表示される画面を真似て、アプリに偽のメッセージ画面を盛り込めば、悪意のあるアプリ開発者はApple IDのパスワードを盗める、としています。

Apple IDの乗っ取りにはメールアドレスも必要ですが、その入手方法については明記されていません。

偽画面を見極める方法

Krause氏によれば、以下の方法で見分けることができます。

Apple IDのパスワードを求める画面が表示されたときは、ホームボタンを押しましょう。

ホームボタンを押すとアプリとパスワード入力画面が消えてホーム画面に戻れた場合、それは偽の入力画面です。

ホームボタンを押してもアプリ・パスワード入力画面が消えない場合、それはiOS・App Storeの機能によって表示されている、正規の入力画面です。

「iPhoneを探す」が悪用される恐れ

Apple IDの2ファクタ認証を設定していれば、Apple IDの乗っ取りは困難になります。

Apple ID の 2 ファクタ認証 – Apple サポート

ただし「iPhoneを探す」を設定済みの場合、Apple IDのメールアドレスとパスワードがあれば、2ファクタ認証を使うことなく、iPhoneの位置情報は確認できます。

デバイスのロックには、iPhoneに設定しているパスコードが必要です。パスコードを設定していない場合、新たにパスコードが設定されてロックされる恐れがあります。

遠隔消去には2ファクタ認証が必要です。

Appleの対応は不明、まずは自衛を

Appleはアプリを公開・販売前に審査していますが、Krause氏によれば、一定時間が経過したあとに自動で有効になるコードを使ったり、アプリから外部のコードを呼び出す仕組みを悪用したりすることで、審査の目をかいくぐることも可能です。

Appleがこの弱点に対応する予定があるのかは、現時点では分かっていません。

以下の方法で自衛しましょう。

  • Apple IDの2ファクタ認証を設定する
  • Apple IDのメールアドレス・パスワード入力画面が表示されたら、ホームボタンを押す
  • 「iPhoneを探す」を設定済みの場合、iPhoneにパスコードを設定する

参考

iOS Privacy: steal.password – Easily get the user’s Apple ID password, just by asking — Felix Krause

Apple サポート ・販売元: iTunes K.K.
・掲載時のDL価格: 無料
・カテゴリ: ユーティリティ
・容量: 110.5 MB
・バージョン: 1.2
参考になったらシェアお願いします!
▼新着記事やオススメ記事を投稿中!
Twitterをフォローする → AppBank(@appbank)
Facebookページをいいねする → AppBank
AppBankの事前登録サイト『ゲームコネクト
『テニスの王子様』ゲーム史上初となるリズムゲーム『新テニスの王子様 RisingBeat』で事前登録を受付中! 事前登録して「黄金の許斐先生像」を手に入れよう。

新テニスの王子様 RisingBeat

オススメ