2017年10月11日08:11  新浪手機   我有話說(14人參與) 收藏本文     

左側是蘋果官方彈出的密碼框 右側是釣魚工具框

　　新浪手機訊 10月11日上午消息，一名叫Felix Krause的國外開發(fā)者今天公布了一種釣魚攻擊的新方式，展示了App開發(fā)者如何使用蘋果官方樣式的彈窗騙取用戶的Apple ID和密碼。

　　容易模仿的彈出框

　　iPhone和iPad用戶已經(jīng)習慣了蘋果官方彈窗，之后在其中輸入Apple ID和密碼，這種彈窗有時候不一定會出現(xiàn)在App Store或iTunes應用程序中。采用UIAlertController模擬系統(tǒng)密碼請求彈窗的設計樣式，第三方App開發(fā)者可以創(chuàng)建一個完全相同的彈窗用作釣魚工具，可能很多人會上當。

　　對此，Krause說：

　　它（彈出窗口）代碼少于30行，而且每個iOS工程師都能夠快速構建自己的釣魚代碼。然而，我決定不開源彈出代碼。

　　一些系統(tǒng)提示需要開發(fā)者提前獲取用戶的Apple ID（即電子郵件），但也有一些彈窗不需要電子郵件，可以直接要求用戶提供密碼。

　　Krause已經(jīng)向蘋果公司報告了這一問題，并建議將蘋果公司要求用戶在設置中輸入他們的憑證，而不是直接通過一個可以很容易模仿的彈出框，或者彈出框上顯示個App圖標，以表明應用程序在要求密碼而不是來自系統(tǒng)。

　　如何避免被騙：

　　這種iOS釣魚工具并非第一次出現(xiàn)，蘋果也有很嚴格的審核機制，但iOS用戶還是要注意不要從不明渠道下載App。

　　判斷一個彈出窗口是蘋果官方的還是釣魚根據(jù)目前還比較簡單：如果彈出一個窗口，點擊Home鍵關閉應用程序窗口消失，那它可能是來自App的釣魚攻擊。如果來自蘋果的系統(tǒng)，彈窗依然會存在。

蘋果官網(wǎng)有如何開啟雙重驗證的教程

　　另外，我們建議蘋果產(chǎn)品用戶務必啟用雙重驗證，這樣即便你的Apple ID被盜，犯罪分子也不可能在沒有驗證過的設備上登錄。（曉光）