如果您是使用了iOS设备,那您应该几乎肯定会经常看到以下弹出窗口,要求您输入您的Apple ID密码。 它经常出现在App Store和iTunes Store中,但是它也有随着随机弹出的趋势,那是因为在后台运行的App。
Advertisements
但是,一名应用程序开发人员Felix Krause发表的一篇新文章解释说,该弹出窗口有可能是黑客用来轻松地欺骗iPhone用户移交他们的Apple ID和密码。
开发人员解释说,iOS应用程序开发者能轻易地创建Apple ID密码提示,而且界面和官方的一模一样。 如此以来,应用程序就可以随时弹出窗口,让用户以为是官方真实的程序,然后记录Apple ID和密码。 它需要少于30行代码,并且能轻易的避开App Store评估团队的审而让程序通过审核。
显示一个看起来像一个系统弹出窗口的对话框是非常简单的,而且没有涉及到复杂的程序代码,它的句子和字面上根本就像Apple文档中提供的示例,一模一样。
我决定不要公开实际的开源代码,但是请注意,它不到30行代码,每个iOS开发者都能够快速创建自己的网络钓鱼代码。
Krause指出,桌面浏览器多年来一直是一个大问题,非法网站发送的假弹出窗口几乎与正常的系统通知相同。 对于iOS来讲这也是一样的。 他说他已经把这个安全漏洞提交给了苹果公司,并解释说,苹果公司能够不允许在弹出窗口中输入密码,而只能在“设置”应用程序/ App Store中修复这个问题。
Advertisements
至于如何保护自己,Krause概述了以下步骤:
- 点击主页按钮,看看应用程序是否退出:
- 如果它关闭了应用程序,已经其对话窗口,那么这是一个网络钓鱼攻击。
- 如果对话框和应用程序仍然可见,那么它是一个系统对话框。 原因是系统对话框运行在不同的进程上,而不是任何iOS应用程序的一部分。
- 千万不要将您的密码资料输入弹出窗口,而是将其程式退出,然后手动打开“设置”应用输入密码。 这概念就好像你不应该点击电子邮件上的链接,而是手动打开网站一样。
- 如果您点击对话框上的“取消”按钮,该应用仍然可以吸取密码字段的内容。 即使输入第一个字符,应用程序可能已经有您的密码。
您可以在Krause的部落格上阅读对此网络钓鱼方法的完整说明。