中国领先的IT技术网站
|
|

这里有两个iOS弹窗,你能看出哪个是用来钓鱼的么?

如果软件开发者想钓到你的 Apple ID ,能做出几乎可以乱真的账号密码对话框。在没有提示的情况下,你能分清下面哪个是钓鱼软件么?

作者:佚名来源:雷锋网|2017-10-20 13:17

Tech Neo技术沙龙 | 11月25号,九州云/ZStack与您一起探讨云时代网络边界管理实践


上周,iOS、Android 应用开发辅助工具 Fastlane 的创始人、安全专家 Felix Krause 公布了一篇文章(链接在此:https://krausefx.com/)。

其中的内容让雷锋网编辑看的虎躯一震,如果软件开发者想钓到你的 Apple ID ,能做出几乎可以乱真的账号密码对话框。对于我这种游戏党来说,下载各类游戏时经常需要输入密码,一般来说是不会怀疑的。如果被钓到,岂不是可以修改我的密码,远程锁机勒索我?

在没有提示的情况下,你能分清下面哪个是钓鱼软件么?

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

▲不是质疑大家的英语水平,右边是钓鱼的

作为配置 iOS 和 Android 自动化 Beta 部署和发布的最简单的工具之一,FastLane 可以简化一些乏味、单调、重复的工作,比如截图、代码签名以及发布 App,所以深受不少开发者的喜爱。而 Felix Krause 正是在此过程中发现了软件开发者可以做出虚假系统对话框,以此来钓到用户的 Apple ID 和密码。

APP 如何钓到用户的账号和密码?

APP 如何才能盗取用户的 Apple ID 账号? Felix Krause 在文中解释,iOS 应用程序会利用 UIAlertController 来弹出假的 Apple ID 登陆窗口。

那啥是 UIAlertController ?

就是我们经常能见到的这个框框↓↓↓

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

▲UIAlertController 的登录和密码对话框示例

软件开发者可以用 UIAlertController 来制作一个可以让用户输入账号和密码的对话框。

在我们下载各类应用时,经常需要输入密码,那这时候出现的对话框往往是系统发出的请求。

但是,如果你身处某个应用当中时,比如某款游戏需要充值了,这时候很可能弹出需要输入密码的对话框,这样的界面会让用户放松警惕,输入自己的 Apple ID 密码。

这就到了钓鱼软件发挥作用的时候了,你填写进去的账号密码瞬间就能发到黑客的后台。之前雷锋网编辑的手机被偷,就遇到了钓鱼短信,在大神破解后,我们看到了这样的后台↓↓↓简直是触目惊心!

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

有人会问,那对方得知道我的邮箱才能钓到鱼,如果我的邮箱没被泄露就不会……

你还是太天真~

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

对方可以选择让你输入邮箱账号啊↓↓↓

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

不过,大家不不必过分担忧, Felix Krause 在文中说,

这种钓鱼手法还只存在于概念之中。出于对用户安全考虑,苹果会对上架 App Store 第三方应用进行审核,只有在应用程序被批准之后才能运行某些代码。

苹果会不会允许钓鱼 APP 的存在?

就在大家都以为这种事情暂时还没有担心的必要时,Felix Krause 在文中的 Q&A 环节对苹果会不会允许这种钓鱼 APP 存在的回应,让雷锋网(公众号:雷锋网)编辑看的又开始心中一紧~

答案是肯定的。虽然 App Store 有很多的安全机制,但是有很多的办法可以绕过,比如:

使用远程代码, JS 桥等;

用 iTunes search API 来比较现在的版本号和 App Store 中的版本号,这样的话 app 可以在得到同意后,自动执行恶意代码;

用远程配置工具来配置一个只有 Apple 通过后才执行的特征;

使用基于时间的触发器,只有当 app 通过审核或拒绝后才执行;

如何识别钓鱼攻击?

既然危险处处都有,我们就要加强防备心,怎样练就火眼金睛?Felix Krause 给出了识别真假弹框的建议:

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

如果在应用程序中出现了账户密码弹窗,点击手机“home”键返回主页面,如果回到主页面后弹窗也消失,那么这个窗口就是假的,这就是一次钓鱼攻击行为。

如果回到主页面后,账户密码弹窗依然存在,那么这就是系统自带的弹窗,是真的。

这么做的原因在于,系统自带的弹窗使用的进程和应用程序的进程不同。

万一中招,如何善后?

如果有天你脑壳方掉,真的是不小心就输入了自己的账号和密码怎么办呢?

雷锋网特地打电话问了一下苹果客服,得到如下答复↓↓↓

带上你的发票,外包装和三包卡(二选一),去找苹果售后。

为避免出现账号被盗的情况,应立即开启双重验证, ios9 以上的用户都可以开启,即使对方拿到你的 ID 和密码,他要修改密码也得向你的苹果设备发验证码进行再次确认。

参考消息:https://krausefx.com/

【编辑推荐】

  1. iOS与Android开发——我们该如何选择?
  2. iOS与Android设备到底是如何被入侵的?
  3. 外媒速递:2017年最值得关注的iOS崩溃报告工具
  4. 谷歌嫌Android开源问题太多,打算开发第二个iOS
  5. 外媒速递:苹果iOS 11中需要了解的各项要点
【责任编辑:张燕妮 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢
24H热文
一周话题
本月最赞

读 书 +更多

鸟哥的Linux私房菜——服务器架设篇(第二版)

本书是对连续三年蝉联畅销书排行榜前10名的《Linux鸟哥私房菜——服务器架设篇》的升级版,新版本根据目前服务器与网络环境做了大幅度修订...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× CTO训练营(深圳站)