779
手机大全
有人盯上了 iPhone 的账号密码,打算直接问用户要
iOS、Android 应用开发辅助工具 fastlane 创始人、安全专家菲利克斯·克劳斯(Felix Krause)周二公布了一篇文章,认为 iOS 应用开发者可以模拟苹果的系统通知弹窗,骗取用户的 Apple ID 密码。
克劳斯没有提供实际的演示,但他截图警告称:“复制(苹果)系统通知是惊人的容易。”根据他的说法,开发者模拟苹果系统通知可以取用苹果文档内的案例素材,代码编写方面,这种钓鱼弹窗只需要 30 行代码就可以完成,是相对容易的。
他设计了 3 张模拟苹果系统通知的钓鱼对话框,左边是苹果系统通知,右边是模拟的:
相似的骗取 Apple ID 帐号和密码的钓鱼攻击,最常见的可能就是 iPhone 被偷后非苹果官方网站、非官方邮件和短信了。但模拟苹果系统通知的对话框,外观上即便做不到上图那样相似,苹果用户可能也容易相信。
不过在具体实践方面,克劳斯提到的这种钓鱼攻击存在比较大的难度。假如开发者希望获得大量用户的密码,其 iOS 应用本身的功能就需要足够吸引人,才有可能获得很多用户。再加上后续的维护、推广资源,这远不是 30 行代码可以完成的。
如果目标只限于进入 App Store,将这套骗取 Apple ID 密码的通知对话框在上架后再激活,这在技术上是可以实现的。但苹果的应用审查即便最初没发现,钓鱼对话框功能被激活后,仍可能被下架。
2011 年,iOS 开发者丹尼尔·阿米泰(Daniel Amitay)开发的 iPhone 锁屏工具的 Big Brother Camera Security 就在上架后又被撤下。这款应用需要用户输入开机密码,如果对方输入错误就会启用前置摄像头拍下对方的头像。这款应用被撤下的原因,很可能跟阿米泰此前分析用户输入的锁屏密码有关。这款应用改了设计,隔了 2 年才回到苹果应用商店。
iPhone 用户可以设置用指纹完成 Apple ID 验证,但 Apple ID 密码这串代码仍然是最重要的密码,时不时就会需要。
至于说上述模拟苹果系统通知的钓鱼攻击,克劳斯给出了识别钓鱼弹窗的方法,即便实施可能性不太大,但对于 iPhone 用户加强安全意识仍然有用。
1. 点击 Home 键,查看应用界面是否跟对话框一起退出,这是因为苹果系统弹窗跟 iOS 应用是分开的两套机制。
如果应用界面跟对话框一起消失,就是一个钓鱼攻击。
如果应用界面和对话框仍然在屏幕上,意味着这是个苹果系统通知。
2. 更谨慎的做法是,不管什么时候,都不要在弹窗里输入密码。忽视掉,进入手机的设置中输入密码。
题图来自:pexels
喜欢这篇文章?去 App 商店搜好奇心日报,每天看点不一样的。
最后更新:2017-10-12 18:12:25