iPhone彈框要密碼？它可能會(huì)盜取蘋(píng)果ID

日前，一名叫Felix Krause的國(guó)外開(kāi)發(fā)者今天公布了一種釣魚(yú)攻擊的新方式，展示了App開(kāi)發(fā)者如何使用蘋(píng)果官方樣式的彈窗騙取用戶的Apple ID和密碼。

容易模仿的彈出框

iPhone和iPad用戶已經(jīng)習(xí)慣了蘋(píng)果官方彈窗，之后在其中輸入Apple ID和密碼，這種彈窗不一定會(huì)出現(xiàn)在App Store或iTunes應(yīng)用程序中。采用UIAlertController模擬系統(tǒng)密碼請(qǐng)求彈窗的設(shè)計(jì)樣式，第三方App開(kāi)發(fā)者可以創(chuàng)建一個(gè)完全相同的彈窗用作釣魚(yú)工具，可能很多人會(huì)上當(dāng)。

這只是一次實(shí)驗(yàn)室內(nèi)嘗試，目前并沒(méi)有此類問(wèn)題發(fā)生的報(bào)告，Krause已經(jīng)向蘋(píng)果公司報(bào)告了這一問(wèn)題，并建議將蘋(píng)果公司要求用戶在設(shè)置中輸入他們的憑證，而不是直接通過(guò)一個(gè)可以很容易模仿的彈出框，或者彈出框上顯示個(gè)App圖標(biāo)，以表明應(yīng)用程序在要求密碼而不是來(lái)自系統(tǒng)。

對(duì)此，Krause說(shuō)：

它(彈出窗口)代碼少于30行，而且每個(gè)IOS工程師都能夠快速構(gòu)建自己的釣魚(yú)代碼。然而，我決定不開(kāi)源彈出代碼。

一些系統(tǒng)提示需要開(kāi)發(fā)者提前獲取用戶的Apple ID(即電子郵件)，但也有一些彈窗不需要電子郵件，可以直接要求用戶提供密碼。