670
這裏有兩個iOS彈窗,你能看出哪個是用來釣魚的麼?
上周,iOS、Android 應用開發輔助工具 Fastlane 的創始人、安全專家 Felix Krause 公布了一篇文章(鏈接在此:https://krausefx.com/)。
其中的內容讓雷鋒網編輯看的虎軀一震,如果軟件開發者想釣到你的 Apple ID ,能做出幾乎可以亂真的賬號密碼對話框。對於我這種遊戲黨來說,下載各類遊戲時經常需要輸入密碼,一般來說是不會懷疑的。如果被釣到,豈不是可以修改我的密碼,遠程鎖機勒索我?
在沒有提示的情況下,你能分清下麵哪個是釣魚軟件麼?
▲不是質疑大家的英語水平,右邊是釣魚的
作為配置 iOS 和 Android 自動化 Beta 部署和發布的最簡單的工具之一,FastLane 可以簡化一些乏味、單調、重複的工作,比如截圖、代碼簽名以及發布 App,所以深受不少開發者的喜愛。而 Felix Krause 正是在此過程中發現了軟件開發者可以做出虛假係統對話框,以此來釣到用戶的 Apple ID 和密碼。
APP 如何釣到用戶的賬號和密碼?
APP 如何才能盜取用戶的 Apple ID 賬號? Felix Krause 在文中解釋,iOS 應用程序會利用 UIAlertController 來彈出假的 Apple ID 登陸窗口。
那啥是 UIAlertController ?
就是我們經常能見到的這個框框↓↓↓
▲UIAlertController 的登錄和密碼對話框示例
軟件開發者可以用 UIAlertController 來製作一個可以讓用戶輸入賬號和密碼的對話框。
在我們下載各類應用時,經常需要輸入密碼,那這時候出現的對話框往往是係統發出的請求。
但是,如果你身處某個應用當中時,比如某款遊戲需要充值了,這時候很可能彈出需要輸入密碼的對話框,這樣的界麵會讓用戶放鬆警惕,輸入自己的 Apple ID 密碼。
這就到了釣魚軟件發揮作用的時候了,你填寫進去的賬號密碼瞬間就能發到黑客的後台。之前雷鋒網編輯的手機被偷,就遇到了釣魚短信,在大神破解後,我們看到了這樣的後台↓↓↓簡直是觸目驚心!
有人會問,那對方得知道我的郵箱才能釣到魚,如果我的郵箱沒被泄露就不會……
你還是太天真~
對方可以選擇讓你輸入郵箱賬號啊↓↓↓
不過,大家不不必過分擔憂, Felix Krause 在文中說,
這種釣魚手法還隻存在於概念之中。出於對用戶安全考慮,蘋果會對上架 App Store 第三方應用進行審核,隻有在應用程序被批準之後才能運行某些代碼。
蘋果會不會允許釣魚 APP 的存在?
就在大家都以為這種事情暫時還沒有擔心的必要時,Felix Krause 在文中的 Q&A 環節對蘋果會不會允許這種釣魚 APP 存在的回應,讓雷鋒網(公眾號:雷鋒網)編輯看的又開始心中一緊~
答案是肯定的。雖然 App Store 有很多的安全機製,但是有很多的辦法可以繞過,比如:
使用遠程代碼, JS 橋等;
用 iTunes search API 來比較現在的版本號和 App Store 中的版本號,這樣的話 app 可以在得到同意後,自動執行惡意代碼;
用遠程配置工具來配置一個隻有 Apple 通過後才執行的特征;
使用基於時間的觸發器,隻有當 app 通過審核或拒絕後才執行;
如何識別釣魚攻擊?
既然危險處處都有,我們就要加強防備心,怎樣練就火眼金睛?Felix Krause 給出了識別真假彈框的建議:
如果在應用程序中出現了賬戶密碼彈窗,點擊手機“home”鍵返回主頁麵,如果回到主頁麵後彈窗也消失,那麼這個窗口就是假的,這就是一次釣魚攻擊行為。
如果回到主頁麵後,賬戶密碼彈窗依然存在,那麼這就是係統自帶的彈窗,是真的。
這麼做的原因在於,係統自帶的彈窗使用的進程和應用程序的進程不同。
萬一中招,如何善後?
如果有天你腦殼方掉,真的是不小心就輸入了自己的賬號和密碼怎麼辦呢?
雷鋒網特地打電話問了一下蘋果客服,得到如下答複↓↓↓
帶上你的發票,外包裝和三包卡(二選一),去找蘋果售後。
為避免出現賬號被盜的情況,應立即開啟雙重驗證, ios9 以上的用戶都可以開啟,即使對方拿到你的 ID 和密碼,他要修改密碼也得向你的蘋果設備發驗證碼進行再次確認。
本文作者:佚名
來源:51CTO
最後更新:2017-11-02 15:34:41