其中的内容讓雷鋒網編輯看的虎軀一震,如果軟體開發者想釣到你的 Apple ID ,能做出幾乎可以亂真的賬号密碼對話框。對于我這種遊戲黨來說,下載下傳各類遊戲時經常需要輸入密碼,一般來說是不會懷疑的。如果被釣到,豈不是可以修改我的密碼,遠端鎖機勒索我?
在沒有提示的情況下,你能厘清下面哪個是釣魚軟體麼?
▲不是質疑大家的英語水準,右邊是釣魚的
作為配置 iOS 和 Android 自動化 Beta 部署和釋出的最簡單的工具之一,FastLane 可以簡化一些乏味、單調、重複的工作,比如截圖、代碼簽名以及釋出 App,是以深受不少開發者的喜愛。而 Felix Krause 正是在此過程中發現了軟體開發者可以做出虛假系統對話框,以此來釣到使用者的 Apple ID 和密碼。
APP 如何釣到使用者的賬号和密碼?
APP 如何才能盜取使用者的 Apple ID 賬号? Felix Krause 在文中解釋,iOS 應用程式會利用 UIAlertController 來彈出假的 Apple ID 登陸視窗。
那啥是 UIAlertController ?
就是我們經常能見到的這個框框↓↓↓
▲UIAlertController 的登入和密碼對話框示例
軟體開發者可以用 UIAlertController 來制作一個可以讓使用者輸入賬号和密碼的對話框。
在我們下載下傳各類應用時,經常需要輸入密碼,那這時候出現的對話框往往是系統發出的請求。
但是,如果你身處某個應用當中時,比如某款遊戲需要充值了,這時候很可能彈出需要輸入密碼的對話框,這樣的界面會讓使用者放松警惕,輸入自己的 Apple ID 密碼。
這就到了釣魚軟體發揮作用的時候了,你填寫進去的賬号密碼瞬間就能發到黑客的背景。之前雷鋒網編輯的手機被偷,就遇到了釣魚短信,在大神破解後,我們看到了這樣的背景↓↓↓簡直是觸目驚心!
有人會問,那對方得知道我的郵箱才能釣到魚,如果我的郵箱沒被洩露就不會……
你還是太天真~
對方可以選擇讓你輸入郵箱賬号啊↓↓↓
不過,大家不不必過分擔憂, Felix Krause 在文中說,
這種釣魚手法還隻存在于概念之中。出于對使用者安全考慮,蘋果會對上架 App Store 第三方應用進行稽核,隻有在應用程式被準許之後才能運作某些代碼。
蘋果會不會允許釣魚 APP 的存在?
就在大家都以為這種事情暫時還沒有擔心的必要時,Felix Krause 在文中的 Q&A 環節對蘋果會不會允許這種釣魚 APP 存在的回應,讓雷鋒網(公衆号:雷鋒網)編輯看的又開始心中一緊~
答案是肯定的。雖然 App Store 有很多的安全機制,但是有很多的辦法可以繞過,比如: 使用遠端代碼, JS 橋等; 用 iTunes search API 來比較現在的版本号和 App Store 中的版本号,這樣的話 app 可以在得到同意後,自動執行惡意代碼; 用遠端配置工具來配置一個隻有 Apple 通過後才執行的特征; 使用基于時間的觸發器,隻有當 app 通過稽核或拒絕後才執行;
如何識别釣魚攻擊?
既然危險處處都有,我們就要加強防備心,怎樣練就火眼金睛?Felix Krause 給出了識别真假彈框的建議:
如果在應用程式中出現了賬戶密碼彈窗,點選手機“home”鍵傳回首頁面,如果回到首頁面後彈窗也消失,那麼這個視窗就是假的,這就是一次釣魚攻擊行為。 如果回到首頁面後,賬戶密碼彈窗依然存在,那麼這就是系統自帶的彈窗,是真的。 這麼做的原因在于,系統自帶的彈窗使用的程序和應用程式的程序不同。
萬一中招,如何善後?
如果有天你腦殼方掉,真的是不小心就輸入了自己的賬号和密碼怎麼辦呢?
雷鋒網特地打電話問了一下蘋果客服,得到如下答複↓↓↓
帶上你的發票,外包裝和三包卡(二選一),去找蘋果售後。 為避免出現賬号被盜的情況,應立即開啟雙重驗證, ios9 以上的使用者都可以開啟,即使對方拿到你的 ID 和密碼,他要修改密碼也得向你的蘋果裝置發驗證碼進行再次确認。
參考消息:https://krausefx.com/
原文釋出時間為:2017-10-20
本文作者:佚名
本文來自雲栖社群合作夥伴51CTO,了解相關資訊可以關注51CTO。