862
人物
新bug!釣魚攻擊可通過iOS彈出窗口竊取用戶密碼
開發人員Felix Krause為了展示潛在的iOS安全漏洞,創建了一個釣魚攻擊的概念驗證,該攻擊利用係統彈出窗口以及用戶與這些消息交互的方式進行,竊取Apple ID憑據。
Krause周二在一篇博客文章中詳細介紹了該方法,指出蘋果的iOS提示用戶輸入iTunes密碼或Apple ID密碼,無論是應用程序下載,固件更新還是應用內購買的身份驗證,憑證尋求彈出窗口都有許多成為iOS體驗的一部分。
隨著iOS的要求,以及對這些請求是合法的固有信任,蘋果無意中“訓練”了用戶在不經過審查的情況下交出密碼,這種情況,加上惡意開發人員的一些手段,帶來了真正的安全威脅, Krause說。
開發人員注意到一個看似簡單的UIAlertController,精心製作以模仿蘋果的係統對話框,可以用於成功的網絡釣魚攻擊。 如上圖截圖所示,Krause能夠創建一個虛假的密碼請求彈出窗口,可能會欺騙大量的iOS用戶。
此外,雖然有一些會提醒說該app需要確認用戶的電子郵件地址,但有些授權彈出窗口則沒有。
這個漏洞一直是一個已知的問題,Krause已經決定不透露他製作的彈出式窗口的來源。 但是,開發人員表示,複製蘋果官方對話是“非常容易的”,指出該項目不到30行代碼。
Krause指出,包含此類代碼的應用程序不太可能通過App Store批準過程進行,但是開發人員可以使用一些未經授權的解決方法在標題生效後執行惡意代碼。
雖然沒有確定的方式來防範彈出式網絡釣魚攻擊,但用戶可以在處理敏感信息時小心謹慎。
例如,Krause說,用戶可以通過在出現可疑應用程序時按住主頁按鈕來測試對話框是否合法。如果操作關閉了應用程序和對話框,彈出窗口可以被確定為網絡釣魚攻擊,而不是合法的Apple係統進程。
Krause建議用戶不要將憑據全部輸入彈出窗口。相反,用戶應該在“設置”應用中關閉可疑對話框並輸入密碼信息。雙因素身份驗證可以防止某些攻擊,但是狡猾的開發人員可以使用類似於上述的網絡釣魚方法來繞過密碼和代碼協議。
在向蘋果提交的雷達中,Krause建議iOS應該指出是否來自係統請求或應用程序請求的對話。他還建議在“設置”應用程序中處理所有密碼請求,而不是通過直接的彈出窗口。
素材來源:appleinsider
編譯:雷科技
------------------------------
更多熱門資訊、玩機技巧、熱機評測,
關注公眾號:雷科技
最後更新:2017-10-12 13:19:54