0
上周,iOS、Android 應用開發輔助工具 Fastlane 的創始人、安全專家 Felix Krause 公布了一篇文章(鏈接在此:https://krausefx.com/)。
其中的內容讓雷鋒網編輯看的虎軀一震,如果軟件開發者想釣到你的 Apple ID ,能做出幾乎可以亂真的賬號密碼對話框。對于我這種游戲黨來說,下載各類游戲時經常需要輸入密碼,一般來說是不會懷疑的。如果被釣到,豈不是可以修改我的密碼,遠程鎖機勒索我?
在沒有提示的情況下,你能分清下面哪個是釣魚軟件么?
▲不是質疑大家的英語水平,右邊是釣魚的
作為配置 iOS 和 Android 自動化Beta部署和發布的最簡單的工具之一,FastLane可以簡化一些乏味、單調、重復的工作,比如截圖、代碼簽名以及發布App,所以深受不少開發者的喜愛。而 Felix Krause 正是在此過程中發現了軟件開發者可以做出虛假系統對話框,以此來釣到用戶的Apple ID 和密碼。
APP如何才能盜取用戶的 Apple ID賬號? Felix Krause 在文中解釋,iOS應用程序會利用 UIAlertController 來彈出假的Apple ID登陸窗口。
那啥是 UIAlertController ?
就是我們經常能見到的這個框框↓↓↓
▲UIAlertController的登錄和密碼對話框示例
軟件開發者可以用 UIAlertController來制作一個可以讓用戶輸入賬號和密碼的對話框。
在我們下載各類應用時,經常需要輸入密碼,那這時候出現的對話框往往是系統發出的請求。
但是,如果你身處某個應用當中時,比如某款游戲需要充值了,這時候很可能彈出需要輸入密碼的對話框,這樣的界面會讓用戶放松警惕,輸入自己的Apple ID密碼。
這就到了釣魚軟件發揮作用的時候了,你填寫進去的賬號密碼瞬間就能發到黑客的后臺。之前雷鋒網編輯的手機被偷,就遇到了釣魚短信,在大神破解后,我們看到了這樣的后臺↓↓↓簡直是觸目驚心!
有人會問,那對方得知道我的郵箱才能釣到魚,如果我的郵箱沒被泄露就不會……
你還是太天真~
對方可以選擇讓你輸入郵箱賬號啊↓↓↓
不過,大家不不必過分擔憂, Felix Krause 在文中說,
這種釣魚手法還只存在于概念之中。出于對用戶安全考慮,蘋果會對上架 App Store 第三方應用進行審核,只有在應用程序被批準之后才能運行某些代碼。
就在大家都以為這種事情暫時還沒有擔心的必要時,Felix Krause 在文中的 Q&A 環節對蘋果會不會允許這種釣魚APP存在的回應,讓雷鋒網編輯看的又開始心中一緊~
答案是肯定的。雖然App Store有很多的安全機制,但是有很多的辦法可以繞過,比如:
使用遠程代碼, JS橋等;
用 iTunes search API 來比較現在的版本號和App Store中的版本號,這樣的話app可以在得到同意后,自動執行惡意代碼;
用遠程配置工具來配置一個只有Apple通過后才執行的特征;
使用基于時間的觸發器,只有當app通過審核或拒絕后才執行;
既然危險處處都有,我們就要加強防備心,怎樣練就火眼金睛?Felix Krause給出了識別真假彈框的建議:
如果在應用程序中出現了賬戶密碼彈窗,點擊手機“home”鍵返回主頁面,如果回到主頁面后彈窗也消失,那么這個窗口就是假的,這就是一次釣魚攻擊行為。
如果回到主頁面后,賬戶密碼彈窗依然存在,那么這就是系統自帶的彈窗,是真的。
這么做的原因在于,系統自帶的彈窗使用的進程和應用程序的進程不同。
如果有天你腦殼方掉,真的是不小心就輸入了自己的賬號和密碼怎么辦呢?
雷鋒網特地打電話問了一下蘋果客服,得到如下答復↓↓↓
帶上你的發票,外包裝和三包卡(二選一),去找蘋果售后。
為避免出現賬號被盜的情況,應立即開啟雙重驗證, ios9 以上的用戶都可以開啟,即使對方拿到你的 ID 和密碼,他要修改密碼也得向你的蘋果設備發驗證碼進行再次確認。
參考消息:https://krausefx.com/
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
