779
手機大全
有人盯上了 iPhone 的賬號密碼,打算直接問用戶要
iOS、Android 應用開發輔助工具 fastlane 創始人、安全專家菲利克斯·克勞斯(Felix Krause)周二公布了一篇文章,認為 iOS 應用開發者可以模擬蘋果的係統通知彈窗,騙取用戶的 Apple ID 密碼。
克勞斯沒有提供實際的演示,但他截圖警告稱:“複製(蘋果)係統通知是驚人的容易。”根據他的說法,開發者模擬蘋果係統通知可以取用蘋果文檔內的案例素材,代碼編寫方麵,這種釣魚彈窗隻需要 30 行代碼就可以完成,是相對容易的。
他設計了 3 張模擬蘋果係統通知的釣魚對話框,左邊是蘋果係統通知,右邊是模擬的:
相似的騙取 Apple ID 帳號和密碼的釣魚攻擊,最常見的可能就是 iPhone 被偷後非蘋果官方網站、非官方郵件和短信了。但模擬蘋果係統通知的對話框,外觀上即便做不到上圖那樣相似,蘋果用戶可能也容易相信。
不過在具體實踐方麵,克勞斯提到的這種釣魚攻擊存在比較大的難度。假如開發者希望獲得大量用戶的密碼,其 iOS 應用本身的功能就需要足夠吸引人,才有可能獲得很多用戶。再加上後續的維護、推廣資源,這遠不是 30 行代碼可以完成的。
如果目標隻限於進入 App Store,將這套騙取 Apple ID 密碼的通知對話框在上架後再激活,這在技術上是可以實現的。但蘋果的應用審查即便最初沒發現,釣魚對話框功能被激活後,仍可能被下架。
2011 年,iOS 開發者丹尼爾·阿米泰(Daniel Amitay)開發的 iPhone 鎖屏工具的 Big Brother Camera Security 就在上架後又被撤下。這款應用需要用戶輸入開機密碼,如果對方輸入錯誤就會啟用前置攝像頭拍下對方的頭像。這款應用被撤下的原因,很可能跟阿米泰此前分析用戶輸入的鎖屏密碼有關。這款應用改了設計,隔了 2 年才回到蘋果應用商店。
iPhone 用戶可以設置用指紋完成 Apple ID 驗證,但 Apple ID 密碼這串代碼仍然是最重要的密碼,時不時就會需要。
至於說上述模擬蘋果係統通知的釣魚攻擊,克勞斯給出了識別釣魚彈窗的方法,即便實施可能性不太大,但對於 iPhone 用戶加強安全意識仍然有用。
1. 點擊 Home 鍵,查看應用界麵是否跟對話框一起退出,這是因為蘋果係統彈窗跟 iOS 應用是分開的兩套機製。
如果應用界麵跟對話框一起消失,就是一個釣魚攻擊。
如果應用界麵和對話框仍然在屏幕上,意味著這是個蘋果係統通知。
2. 更謹慎的做法是,不管什麼時候,都不要在彈窗裏輸入密碼。忽視掉,進入手機的設置中輸入密碼。
題圖來自:pexels
喜歡這篇文章?去 App 商店搜好奇心日報,每天看點不一樣的。
最後更新:2017-10-12 18:12:25