吊灯厂家
免费服务热线

Free service

hotline

010-00000000
吊灯厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

【消息】这里有两个iOS弹窗你能看出哪个是用来钓鱼的么

发布时间:2021-01-02 21:47:27 阅读: 来源:吊灯厂家

上周,iOS、Android 应用开发辅助工具 Fastlane 的创始人、安全专家 Felix Krause 公布了一篇文章

其中的内容让头条君看的虎躯一震,如果软件开发者想钓到你的 Apple ID ,能做出几乎可以乱真的账号密码对话框。对于我这种游戏党来说,下载各类游戏时经常需要输入密码,一般来说是不会怀疑的。如果被钓到,岂不是可以修改我的密码,远程锁机勒索我?

在没有提示的情况下,你能分清下面哪个是钓鱼软件么?

不是质疑大家的英语水平,右边是钓鱼的

作为配置 iOS 和 Android 自动化Beta部署和发布的最简单的工具之一,FastLane可以简化一些乏味、单调、重复的工作,比如截图、代码签名以及发布App,所以深受不少开发者的喜爱。而 Felix Krause 正是在此过程中发现了软件开发者可以做出虚假系统对话框,以此来钓到用户的Apple ID 和密码。

APP如何钓到用户的账号和密码?

APP如何才能盗取用户的 Apple ID账号? Felix Krause 在文中解释,iOS应用程序会利用 UIAlertController 来弹出假的Apple ID登陆窗口。

那啥是 UIAlertController ?

就是我们经常能见到的这个框框↓↓↓

UIAlertController的登录和密码对话框示例

软件开发者可以用 UIAlertController来制作一个可以让用户输入账号和密码的对话框。

在我们下载各类应用时,经常需要输入密码,那这时候出现的对话框往往是系统发出的请求。

但是,如果你身处某个应用当中时,比如某款游戏需要充值了,这时候很可能弹出需要输入密码的对话框,这样的界面会让用户放松警惕,输入自己的Apple ID密码。

这就到了钓鱼软件发挥作用的时候了,你填写进去的账号密码瞬间就能发到黑客的后台。之前雷锋网编辑的手机被偷,就遇到了钓鱼短信,在大神破解后,我们看到了这样的后台↓↓↓简直是触目惊心!

有人会问,那对方得知道我的邮箱才能钓到鱼,如果我的邮箱没被泄露就不会……

你还是太天真~

对方可以选择让你输入邮箱账号啊

不过,大家不不必过分担忧, Felix Krause 在文中说,

这种钓鱼手法还只存在于概念之中。出于对用户安全考虑,苹果会对上架 App Store 第三方应用进行审核,只有在应用程序被批准之后才能运行某些代码。

苹果会不会允许钓鱼 APP 的存在?

就在大家都以为这种事情暂时还没有担心的必要时,Felix Krause 在文中的 Q&A 环节对苹果会不会允许这种钓鱼APP存在的回应,让雷锋网编辑看的又开始心中一紧~

答案是肯定的。虽然App Store有很多的安全机制,但是有很多的办法可以绕过,比如:

使用远程代码, JS桥等;

用 iTunes search API 来比较现在的版本号和App Store中的版本号,这样的话app可以在得到同意后,自动执行恶意代码;

用远程配置工具来配置一个只有Apple通过后才执行的特征;

使用基于时间的触发器,只有当app通过审核或拒绝后才执行;

如何识别钓鱼攻击?

既然危险处处都有,我们就要加强防备心,怎样练就火眼金睛?

如果在应用程序中出现了账户密码弹窗,点击手机“home”键返回主页面,如果回到主页面后弹窗也消失,那么这个窗口就是假的,这就是一次钓鱼攻击行为。

如果回到主页面后,账户密码弹窗依然存在,那么这就是系统自带的弹窗,是真的。

这么做的原因在于,系统自带的弹窗使用的进程和应用程序的进程不同。

万一中招,如何善后?

如果有天你脑壳方掉,真的是不小心就输入了自己的账号和密码怎么办呢?

带上你的发票,外包装和三包卡(二选一),去找苹果售后。

为避免出现账号被盗的情况,应立即开启双重验证, ios9 以上的用户都可以开启,即使对方拿到你的 ID 和密码,他要修改密码也得向你的苹果设备发验证码进行再次确认。

开阳牛皮癣医院

龙川癫痫医院

广州尿道下裂手术

常见的四种妇科病