近日,一种新的钓鱼方式出现在苹果手机用户中:因很多iPhone用户习惯了苹果官方弹窗,之后在其中输入Apple ID和密码,骗子会创建一个完全相同的弹窗做钓鱼工具。咋防范?
当你的iPhone出现这样的弹窗时,你的第一反应是什么?
我相信大多数人都会在脑海里回忆自己的Apple ID账号和密码,记起来之后,把相应的内容填进去。但仔细想想,我们怎么确保这个弹窗真的是iOS系统调用的而不是第三方开发者在“钓鱼”呢?
澳大利亚开发者Feilx Krause也想到这个问题,他在微博文章中讨论了开发者故意在自己的应用中设计钓鱼弹窗来盗取用户Apple ID与密码的可能性,这种自行设计的弹窗可以做到在显示上与iOS账号密码输入弹窗完全相同。
那么,通过这种钓鱼手段来“正大光明”地盗取用户Apple ID的账号与密码,是否能够实现呢?答案是有可能的。
骗术揭秘
首先,不管是哪一代iOS系统,都曾向用户展示过账号密码弹窗,比如iOS升级时、Game Center登录时、应用付费购买时等等。iOS用户已经理所当然养成了毫不犹豫在这样的输入框中填写账号密码的习惯。因此利用钓鱼弹窗来盗取Apple ID账号密码,大多数用户可能都会乖乖配合。
此外,这类弹窗采用的是iOS统一设计规范中的UIKit—UIAIertController。一直以来,Apple都鼓励开发者调用UIKit来使iOS应用看起来设计统一,而开发者只需将UIAIertController的title、message和Action稍作修改,就能实现真假难辨的钓鱼弹窗。这是一段非常简单的代码,只要是位开发者都知道怎么写,所以问题在于开发者有没有坏心思。
你想问开发者怎么会知道我的Apple ID邮箱呢?再设计一个弹窗也不是什么难事。你以为你的输入内容无人知晓,实际上已经悄悄记录下来了。
最后,Apple不会让这些应用通过上架审核的吧?这很难说,尽管Apple在检测第三方应用安全性方面做了很多努力,但是近两年Apple一直强调APP Store应用审核时间大大缩短,这也意味着审核质量在一定程度上发生了变化。
如何防骗
按一下Home看看弹幕会不会消失
如果一个Alert弹窗是系统实现的,那么按下Home键,它不会消失;而如果一个Alert弹窗是应用实现的,那么按下Home键,弹窗会消失。下图的弹窗是在 App Store 更新应用时触发的,可以看到按下 AssistiveTouch 中的 Home 键后,它并没有消失,而仍然显示在主屏幕上。
不过,按下 Home 键来辨别其它类型的钓鱼弹窗就不管用了,因为 iOS 上需要 Apple ID 账号和密码的场景很多。比如在 iOS 11 中第三方应用的内购,可能会需要输入密码,而这些窗口在按下 Home 键后是会消失的。
不输入或故意输入错误的账号和密码
如果是 iOS 系统要求你输入 Apple ID 账号和密码,显然你必须输入正确的内容,才能使操作继续。而如果你输入了错误的内容或者干脆不输入也能继续,那么很有可能这是钓鱼弹窗。
不要在弹窗中输入账号和密码
尽量使用 Touch ID、Face ID 等身份认证方式,而避免在弹窗中输入账号密码。如果一定要输入才能进行身份认证,可以在 iOS 系统的「设置」中进行,因为 iOS 系统官方的弹窗,就是从设置中调取用户的身份认证。
终极保护:双重认证
为你的 Apple ID 开启双重认证 后,当有应用或服务想要访问你的账号时,iOS 除了要求你输入账号和密码之外,还会给你的「受信任设备」或「受信任电话号码」发送验证码,这三项完全正确,才能访问你的 Apple ID。因此,即使钓鱼弹窗获取了你的 Apple ID 账号和密码,它们也无法得知验证码,在短时间内你的账户还是安全的。你可以尽快修改 Apple ID 账号和密码,以防数据泄漏财产损失。
来源:新浪四川/电商报/少数派sspai
编辑:雨汐
标签: 凌云诺苹果版
评论列表
有应用或服务想要访问你的账号时,iOS 除了要求你输入账号和密码之外,还会给你的「受信任设备」或「受信任电话号码」发送验证码,这三项完全正确,才能访问你的 Apple ID。因此,即使钓鱼弹窗获取了你的 Apple ID 账号和密码,它们也无法得知验证码,在短时间内你的账户还是安全的。你
iOS统一设计规范中的UIKit—UIAIertController。一直以来,Apple都鼓励开发者调用UIKit来使iOS应用看起来设计统一,而开发者只需将UIAIertController的title、message和Action稍作修改,就能实现真假难辨的