ユーザーの Apple ID パスワードを取得するには、攻撃者は尋ねるだけでよい、 と開発者の Felix Krause 氏はブログで書いています。同氏は、Apple が iOS モバイル オペレーティング システムでパスワードを求めるポップアップを使い続けているという事実を批判しています。これは、たとえば、オペレーティング システムの更新後、またはユーザーが長期間オフラインだった場合に発生します。
簡単に操作できる
Apple ユーザーは、要求に応じて Apple ID パスワードをポップアップに入力することに慣れています。このようなクエリはロック画面やホーム画面に表示されるだけでなく、iCloud へのアクセスが必要な場合にはアプリにも表示されると Krause 氏は書いています。悪意のあるアプリ開発者は、このようなポップアップ クエリを簡単に偽装することができます。
Apple は App Store で厳格な制御メカニズムを使用していますが、このようなポップアップのコードは後から挿入することもできます。クラウス氏は、クエリがアプリから来たのかアップルから来たのかユーザーには分からないと批判する。
Krause氏はAppleに対し、ポップアップでApple IDのパスワードを要求するのではなく、ユーザーをシステム設定にリダイレクトするよう呼び掛けている。さらに、アプリ内のダイアログ ボックスでは、クエリがアプリからのものなのかシステムからのものなのかを明確に示す必要があると開発者はアドバイスしています。