Сегодня разработчик Феликс Краузе выложил в сеть концепт фишинговой атаки на пользователей iOS, которая с легкостью может быть применена в любых приложениях. Смысл ее в том, что разработчик может добавить в программу всплывающее диалоговое окно с запросом пароля AppleID. Делается это за несколько минут при помощи UIAlertController и занимает менее 30 строчек кода. Большинство пользователей сразу введут пароль, который тут же уйдет недоброжелателям.
«iOS запрашивает у пользователей пароль от iTunes по множеству причин: когда недавно установленная iOS обновляется, или если приложение “застряло” во время установки. В результате пользователей приучили просто вводить пароль от Apple ID, если система его просит. Более того, всплывающие окна появляются не только на экране блокировки или домашнем экране, но и в случайных сторонних приложениях, когда им нужен доступ к iCloud, Game Center или покупкам внутри приложения», — пишет Краузе.
Исследователь утверждает, что о проблеме пока не знают злоумышленники, так как случаев ее эксплуатации пока замечено не было. Именно по этой причине Краузе решил не публиковать исходный код, который использовал для создания столь правдоподобных фальшивок.