iOSで突然表示されるログインポップアップにご注意を 47
ストーリー by hylom
あのポップアップのうさんくささはひどい 部門より
あのポップアップのうさんくささはひどい 部門より
あるAnonymous Coward曰く、
iOSでは、突然ユーザーのApple IDやパスワードの入力を求めるポップアップが表示されることがある。たとえばアプリをダウンロードする場合や、iCloudにアクセスする際などにこのポップアップは表示されるが、iOSユーザーはあまりにもこのポップアップの出現やそこにID/パスワードを入力することに慣れすぎているため、悪意のあるアプリなどはこのポップアップに似せたポップアップを表示するだけでIDやパスワードを手できてしまう可能性があるとの指摘が出ている。
この指摘を行っているFelix Krauseのブログでは、ポップアップを実際に作成してiOSが表示する正しいポップアップと比較しているが、スクリーンショットを見るだけではまったく区別は付かないものとなっている。
対策としては、ホームボタンを押してアプリを閉じることでそのポップアップが正当なものかどうかを判別できるとのこと。アプリと一緒に消えるポップアップは偽物で、アプリを閉じても表示されたままのポップアップはシステムによる正当なものだそうだ。また、このポップアップが表示されてもキャンセルし、「設定」アプリ経由でID/パスワードを入力することなどでもフィッシングを回避できるという。
他のOSはどうなのか (スコア:0)
別にAppleに限った話じゃなくない?
Androidはアプリ自体の購入はした事あるけど、アプリ内購入はした事ないからわかんない。
Windows PhoneはもうMSがおしまいって言ってるし、今更だなぁ。
あとは、ストアアプリか。
アプリ内購入した事はあるけど、あんまり開発に関わってないからわからない。
Webの決済画面とかは、もうそれってまさにフィッシングまんまで目新しくもないよね。
そして、Appleの審査がもしこんな手法をはじけないなら、さすがに何の為の審査だよ、って感じだよね。
Re:他のOSはどうなのか (スコア:3, 興味深い)
Androidの場合、いきなりGoogleアカウントの認証情報を入れろというダイアログが出ることはほぼない
代わりに、通知バーに一度表示され、それをクリックするとAndroidシステムブラウザ上でのログインが要求される
ここで、Androidでは機種ごとにUIが異なるので、
悪意あるアプリが特定機種のシステムダイアログやシステムアプリに似せたダイアログを表示しようと必死になっても
実際のシステムの見た目と一致するものを出すことがとても難しい
多様性が安全につながっている非常に良い例と言える
Re: (スコア:0)
iOSも画面上端とか隅のほうにアプリから操作できないOSの専用領域を作っちゃダメなのかな?最近画面上端はカメラが使うことになったらしいから、その左右の角とか、別にいいでしょ。
Re: (スコア:0)
GUIをいじっている端末はデフォルトのテーマの内容をいじっているわけだから、
その上でアプリがダイアログを出してもそのテーマの通りに、そっくりなものが出てくるよ。
Re: (スコア:0)
> GUIをいじっている端末はデフォルトのテーマの内容をいじっているわけだから、
> その上でアプリがダイアログを出してもそのテーマの通りに、そっくりなものが出てくるよ。
ならない
ダイアログの大きさ、フォント、付随するアイコンなど
機種ごとに差異があるので、悪意あるアプリが似せようとしてもすぐ限界が来る
もっと言えばすでにふれられている通りAndroidでGoogleアカウントを入力させるポップアップが出ることなんてほぼ皆無なので
それが求められる状況になったらすぐに異常と気づく
Re: (スコア:0)
だから、ダイアログでフォントや文字サイズなんて一々指定マメに指定しなければ、デフォルトの物が使われるだろう。
それはその「機種ごとに違うGUI」のデフォルト設定の物が使われるんだから、同じになるよ。
Re: (スコア:0)
システムが表示するダイヤログパーツのデフォルトと、
ユーザアプリが表示するダイヤログパーツのデフォルトが違うから、
同一にはならないって意味じゃないのかな。
Re: (スコア:0)
> だから、ダイアログでフォントや文字サイズなんて一々指定マメに指定しなければ、デフォルトの物が使われるだろう。
> それはその「機種ごとに違うGUI」のデフォルト設定の物が使われるんだから、同じになるよ。
ならない
というか開発経験まったく皆無なのに必死にならなくていいよ、うざいから
Re: (スコア:0)
多様性が安全につながっている非常に良い例と言える
タラレバの話でドヤられてもなァ
「Linuxは安全・Macは安全」と同レベルの話だよソレ
Re: (スコア:0)
もとコメのどのへんにタラレバの話がでてた?
Re: (スコア:0)
う、うん?
使用者が端末の本物のダイアログの様式を正確に記憶してれば見破れるけど……
Re: (スコア:0)
そんなにパスワードを頻繁に聞くのだとしたら、Apple固有の問題では?
AndroidでgoogleのIDとパスワード聞かれるのなんて、ほぼ無いんじゃないかな。
料金支払うときと、スマホ移行するときくらい?
聞かれたら結構慎重になると思う。
# 重課金すぎて頻繁に料金支払うような人は、また別の問題だと思うんだ。
Re:他のOSはどうなのか (スコア:1)
> AndroidでgoogleのIDとパスワード聞かれるのなんて、ほぼ無いんじゃないかな。
> 料金支払うときと、スマホ移行するときくらい?
一年位前だったか、Google側のサーバー障害の結果、Android端末の通知バーに
「Googleアカウントに再ログインしてください」
という表示が出る状況が一時的に多発したとき
「こんな表示が出ることあるんだー、驚いたー」と話題になるくらい、Android端末でアカウント情報を再確認されることは少ないですね
Re: (スコア:0)
で、「こんな表示」が出たときに、それが本物かどうかどうやって見分けるの?
Re:他のOSはどうなのか (スコア:2, 参考になる)
Androidの場合、通知を長押しするとその通知を表示しているアプリの情報画面に遷移出来るので、そのアプリがAndroidシステムまたはそれに相当するものかの判別が可能
なおこの通知を表示しているアプリを表示するUIは上書き不可能で全ての通知に同じアクションで表示に標示されますので信用出来ます
Re: (スコア:0)
「〇〇なら信用できる!」という、誰にでもよくわかる共通認識がないと、あまり意味ないんじゃないでしょうか
パソコンやブラウザでもパスワード認証時に証明書を表示できるけど、「よくわからないし確認しないけどけど信用する」というユーザーがほとんどでしょ。
信用できるか確認できる手段があるのはいいけど、それじゃフィッシング詐欺は防げない。
Re:他のOSはどうなのか (スコア:1)
ポップアップ頻度による。
PCのブラウザにしてもこの記事の件にしても、割と重要なのは「良くある」という点。
つまり「またか」と思われ警戒心無しに入力する可能性が非常に高くなっているということ。
素のAndroidだとUIが多様な分、唐突な入力要求は「なにこれ?」とまず疑問と警戒心が先に来る分安全側に振れていると言える。
言っとくがあくまでUIの見た目の話な。
フィッシング詐欺は「いかに疑問に思わせず入力させるか」に注力しているので、
UIの多様性だけで防げるわけじゃないのは事実だが、敷居がやや高くなっていることも間違いない。
Re:他のOSはどうなのか (スコア:1)
前半と後半で矛盾してるように思いますね。
ポップアップの頻度が高いのであれば、偽物の確認画面が出たら、デザインの違いに「何か変だぞ」と気づきやすいでしょうし、UIの多様性は詐欺防止に有効かもしれませんが、
ポップアップの頻度が低い場合、偽物の確認画面が出たら、「何故確認画面が出たのか」という観点では疑問に思うかもしれませんが、「デザインが違うので偽物だ」と気づくことは難しいんじゃないですかね。
#前回最後にみた確認画面のデザインを覚えてないと気づくことは無理だし、
#OSのバージョンアップなどでデザインが変わる場合もあるので、記憶と違うデザインだからといって偽物ともかぎらない。
ポップアップの頻度が高い場合には、UIの多様性で敷居を高くすることはできるかもしれませんが、ポップアップの頻度が低い場合には、UIの多様性はあまり有効ではないと思います。
Re: (スコア:0)
気軽にアプリをインストールする文化の違いかも?
アプリも入れない、OSのアップデートもしないなら
パスワード聞かれることは少ないでしょうね
Re: (スコア:0)
ブラウザやPCアプリでも同じ問題があるよね.
UACとか工夫しても,似たものは防げない気がする.
Re: (スコア:0)
程度の問題としてiOSは確認ダイアログを出しすぎる、多様性がないので悪意ある側がそれを真似るのがとても簡単、UACのような仕組みもないというダメダメダメだからね
批判されるのは当然。だからこそ改善するという方向につながる
Re: (スコア:0)
私も以前からPC使ってて思ってました。この認証ダイアログボックスは本物だろうか?とか。
OSのセットアップ時や新規ユーザー追加時に、ユーザーにOSの認証ダイアログボックスで表示する適当な文字列(或いは画像でもいいかも)を入力させるのはどうだろうか?もちろんその文字列は暗号化した状態で保存され、OSの専用認証ダイアログボックスで表示されるようにする。(Webサイトの認証でそういうのなかったっけ?)
そうすれば、その文字列が何らかの方法で読み取られない限りは、偽認証ダイアログボックスを判別できるんじゃないか。OSの特権昇格時等はこれでいいとしても、アプリ固有の認証(何らかのネット上のアカウントとか)は他のアプリ(というかマルウェア)から分からないように、アプリ各々に文字列が必要になるのか。そういう機能のライブラリが欲しいかも。
Re: (スコア:0)
認証系のダイアログにおいて、ユーザが事前に登録しておいた特定の文言や画像を出すことで正当性確認を強化する仕組みはずっと昔からあるぞ
Re: (スコア:0)
Windowsの場合ってもしかして、アカウントの画像がそれに該当するのか?(あの画像はアプリから読み取られることはないのか?)
#わたしゃ馬鹿だな…
Re:他のOSはどうなのか (スコア:1)
たとえばこういうの
http://www.jp-bank.japanpost.jp/direct/pc/security/drsecurity/dr_pc_sc... [japanpost.jp]
の「ログイン時の画像表示」の部分
郵貯以外にもいくらでも採用例があり、とりあえず自分が知ってる限り2000年代前半から実用サービスでも見かけている
Re: (スコア:0)
Yahooのアカウントでも一時期ありましたね。
>いくらでも採用例があり
確かにあるといえばあるけれども、以前からあるのに普及率は高くないような気がします。あまり効果がないのでしょうか…個人的にはあった方が良い気はしますが。
Windowsのアカウント画像のファイルを見つけたけど(フォルダ名がそのままだし)、他アカウントから読めないように保護されてはいるものの暗号化されてないような気が…該当しないということか…
Re: (スコア:0)
Windowsで中国人?音声メッセージのポップアップやログイン出す奴に最近当ったな
タスクマネージャーで強制終了させたが海外系は見て回るだけで何かとぶち当たるからうざくて仕方ない
Re: (スコア:0)
デスクトップでLinuxを使ってて似たような疑問が浮かんだことはある。
GUIアプリがsudo権限を要求する時にダイアログが出るけど、本当にOSが出してるダイアログなのか判別する方法を知らないなーって。
まあそのアプリにsudoさせてる時点で悪意があったら何でもできるわけだから、大した問題ではないんだろうけど。
Re: (スコア:0)
> まあそのアプリにsudoさせてる時点で悪意があったら何でもできるわけだから、大した問題ではないんだろうけど。
言ってる意味がよく分からない。
ローカルでアプリケーションが実行されているから、脆弱性を突けば何でも出来るってこと?
Re: (スコア:0)
Android との比較だと、
http://gigazine.net/news/20171011-ios-steal-password/ [gigazine.net]
> アカウントのパスワードを求めるダイアログは、特にiOSをアップデートした時やパスワードを変更した際にたびたび表示されることがあり、
> iPhoneユーザーなら「また出た」とウンザリしてしまった経験がある人もいるはず。つい、「はいはい、わかりましたよ(怒)」とパスワードを入力してしまいがちですが、
という感じが確かにあって、パスワード入力に対する心理障壁は低いように感じる。
Re: (スコア:0)
> という感じが確かにあって、パスワード入力に対する心理障壁は低いように感じる。
パスワードを覚えておいて、毎回手で打ち込むの?
まずそこがイメージできない
Re: (スコア:0)
うん、記憶できるパスワードってレベルがもうダメな気がする
Re: (スコア:0)
Touch IDが導入されるまでは本当にパスワードを入力させられることが多くて
入力しているうちに自然に頭にはいる感じだった
Re: (スコア:0)
自分は聞かれないな。iOSをアップデートしたときにも聞かれない。
だからこのような「…という感じ」がわからない。
アカウントを二つ使い分けてる場合とかかな?
Re: (スコア:0)
私も聞かれた記憶ないかも
スリープ画面から復帰する時にパスワード入れることで本人と認識されてるのかな?
突然エロ動画広告がポップアップした (スコア:0, 興味深い)
こないだ電車の中でiPhoneのアプリ使ってたんだけど
突然ポップアップ広告が立ち上がって、しかもそれがエロ動画サイトの広告だった。
会員登録したからXX円払えってゆーいわゆる詐欺系じゃなくて
普通に興味ある方はクリック的なやつだったんだけど
自動でサンプル動画再生しやがるし、まじパニクった・・・
ちなみにアプリは真面目な乗りかえ案内のやつ。
iPhoneもう4~5年使ってるけど、そういう目に遇うの今までなかったのに
どうしちゃったんだろう。
Re:突然エロ動画広告がポップアップした (スコア:3, 興味深い)
ちょっと話がそれるけど、広告付き無料のソフトでも、けっこう微エロとか出るよね。
子供に使わせられない、、、これは広告なし版を買えという圧力なのか
Re:突然エロ動画広告がポップアップした (スコア:3)
Re:突然エロ動画広告がポップアップした (スコア:4, すばらしい洞察)
なんて呼ぶんだっけ
ユーザーの行動や嗜好に合わせて広告を出す技術
Re:突然エロ動画広告がポップアップした (スコア:2)
子供も使う様なゲームでもこれだから困る
余りに酷いときは申し訳ないがルータで落としてる
Touch ID (スコア:0)
指紋認証が有効な場合はパスワードを求められることってあんまりなくないですか?
Re:Touch ID (スコア:1)
iPhone6以降は、指紋認証を有効にしていればパスワードのポップアップなんてほとんど出ないんでありますよねぇ。
AmazonやモバイルSuicaも指紋認証に対応しているから、
たまにバージョンアップとかでパスワードを求められると慌ててしまうぐらいであります。
AppleIDを頻繁に入力する状況ってどんな状況なのでありましょうか。
まさか、iPhone4以前の話をしている?
Re: (スコア:0)
問題はそのパスワードのポップアップ表示が本物か偽物か一目見ただけで区別がつきにくいのが問題なんだと思います。
特殊な権限でしか表示できない誰が見ても分かるような特殊な何かで表示させることが出来れば良いんでしょうけど
Re:Touch ID (スコア:1)
> 指紋認証が有効な場合はパスワードを求められることってあんまりなくないですか?
指紋認証が不安定な人もいるし、認証される状況とは思ってないから指の腹ではなくテキトーにボタン押してる状況も多い
それで認証が数回失敗するとパスワード認証になるので、悪意あるアプリの仕業と察知しない人はそれに入力しちゃうだろうね
Re: (スコア:0)
時々、TouchIDを有効にするにはAppleIDを入れろって言い出して困るけど
type? (スコア:0)
"IDやパスワードを手できてしまう"は
"IDやパスワードを入手できてしまう"かな?