这里有两个iOS弹窗,你能看出哪个是用来钓鱼的么?_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 这里有两个iOS弹窗,你能看出哪个是用来钓鱼的么?

这里有两个iOS弹窗,你能看出哪个是用来钓鱼的么?

 2017/10/20 14:30:17    程序员俱乐部  我要评论(0)
  • 摘要:上周,iOS、Android应用开发辅助工具Fastlane的创始人、安全专家FelixKrause公布了一篇文章(链接在此:https://krausefx.com/)。其中的内容让雷锋网编辑看的虎躯一震,如果软件开发者想钓到你的AppleID,能做出几乎可以乱真的账号密码对话框。对于我这种游戏党来说,下载各类游戏时经常需要输入密码,一般来说是不会怀疑的。如果被钓到,岂不是可以修改我的密码,远程锁机勒索我?在没有提示的情况下,你能分清下面哪个是钓鱼软件么?▲不是质疑大家的英语水平
  • 标签:iOS
class="topic_img" alt=""/>

  上周,iOS、Android 应用开发辅助工具 Fastlane 的创始人、安全专家 Felix Krause 公布了一篇文章(链接在此:https://krausefx.com/)。

  其中的内容让雷锋网编辑看的虎躯一震,如果软件开发者想钓到你的 Apple ID ,能做出几乎可以乱真的账号密码对话框。对于我这种游戏党来说,下载各类游戏时经常需要输入密码,一般来说是不会怀疑的。如果被钓到,岂不是可以修改我的密码,远程锁机勒索我?

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

  在没有提示的情况下,你能分清下面哪个是钓鱼软件么?

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

▲不是质疑大家的英语水平,右边是钓鱼的

  作为配置 iOS 和 Android 自动化 Beta 部署和发布的最简单的工具之一,FastLane 可以简化一些乏味、单调、重复的工作,比如截图、代码签名以及发布 App,所以深受不少开发者的喜爱。而 Felix Krause 正是在此过程中发现了软件开发者可以做出虚假系统对话框,以此来钓到用户的 Apple ID 和密码。

  APP 如何钓到用户的账号和密码?

  APP 如何才能盗取用户的 Apple ID 账号? Felix Krause 在文中解释,iOS 应用程序会利用 UIAlertController 来弹出假的 Apple ID 登陆窗口。

  那啥是 UIAlertController ?

  就是我们经常能见到的这个框框↓↓↓

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

▲UIAlertController 的登录和密码对话框示例

  软件开发者可以用 UIAlertController 来制作一个可以让用户输入账号和密码的对话框。

  在我们下载各类应用时,经常需要输入密码,那这时候出现的对话框往往是系统发出的请求。

  但是,如果你身处某个应用当中时,比如某款游戏需要充值了,这时候很可能弹出需要输入密码的对话框,这样的界面会让用户放松警惕,输入自己的 Apple ID 密码。

  这就到了钓鱼软件发挥作用的时候了,你填写进去的账号密码瞬间就能发到黑客的后台。之前雷锋网编辑的手机被偷,就遇到了钓鱼短信,在大神破解后,我们看到了这样的后台↓↓↓简直是触目惊心!

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

  有人会问,那对方得知道我的邮箱才能钓到鱼,如果我的邮箱没被泄露就不会……

  你还是太天真~

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

  对方可以选择让你输入邮箱账号啊↓↓↓

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

  不过,大家不不必过分担忧, Felix Krause 在文中说,

这种钓鱼手法还只存在于概念之中。出于对用户安全考虑,苹果会对上架 App Store 第三方应用进行审核,只有在应用程序被批准之后才能运行某些代码。

  苹果会不会允许钓鱼 APP 的存在?

  就在大家都以为这种事情暂时还没有担心的必要时,Felix Krause 在文中的 Q&A 环节对苹果会不会允许这种钓鱼 APP 存在的回应,让雷锋网(公众号:雷锋网)编辑看的又开始心中一紧~

答案是肯定的。虽然 App Store 有很多的安全机制,但是有很多的办法可以绕过,比如:

使用远程代码, JS 桥等;

iTunes search API 来比较现在的版本号和 App Store 中的版本号,这样的话 app 可以在得到同意后,自动执行恶意代码;

用远程配置工具来配置一个只有 Apple 通过后才执行的特征;

使用基于时间的触发器,只有当 app 通过审核或拒绝后才执行;

  如何识别钓鱼攻击?

  既然危险处处都有,我们就要加强防备心,怎样练就火眼金睛?Felix Krause 给出了识别真假弹框的建议:

这里有两个 iOS 弹窗,你能看出哪个是用来钓鱼的么?

如果在应用程序中出现了账户密码弹窗,点击手机“home”键返回主页面,如果回到主页面后弹窗也消失,那么这个窗口就是假的,这就是一次钓鱼攻击行为。

如果回到主页面后,账户密码弹窗依然存在,那么这就是系统自带的弹窗,是真的。

这么做的原因在于,系统自带的弹窗使用的进程和应用程序的进程不同。

  万一中招,如何善后?

  如果有天你脑壳方掉,真的是不小心就输入了自己的账号和密码怎么办呢?

  雷锋网特地打电话问了一下苹果客服,得到如下答复↓↓↓

带上你的发票,外包装和三包卡(二选一),去找苹果售后。

为避免出现账号被盗的情况,应立即开启双重验证, ios9 以上的用户都可以开启,即使对方拿到你的 ID 和密码,他要修改密码也得向你的苹果设备发验证码进行再次确认。

  参考消息:https://krausefx.com/

发表评论
用户名: 匿名