当你的iPhone出现这样的弹窗,你的第一反应是什么?相信大部分人都会第一时间在脑海中回忆起自己的AppleID账号和密码,记住之后,填写相应的内容。但是,仔细想想,如何保证这个弹窗真的是iOS系统调用的,而不是第三方开发者的钓鱼呢?澳大利亚开发者FelixKrause也考虑过这个问题。在他的博客文章中,他讨论了开发人员故意在自己的应用程序中设计钓鱼弹出窗口以窃取用户的AppleID和密码的可能性。弹窗可以显示和iOS账号密码输入弹窗一模一样。:white_check_mark:是iOS官方系统的弹窗;:no_entry_sign:这就是钓鱼弹窗骗局的秘密:gun:那么,是否可以通过这种钓鱼方式“公平”地窃取用户的AppleID账号和密码呢?答案是可能的。首先,无论是哪一代的iOS系统,都曾向用户展示过这样的账号密码弹窗,比如iOS升级时、登录GameCenter时、进行内购时等等。在。iOS用户想当然地养成了在这样的输入框中毫不犹豫地填写账号密码的习惯。因此,利用钓鱼弹窗窃取AppleID账号密码,大部分用户可能会乖乖配合。另外,这类弹窗使用了iOS统一设计规范中的UIKit——UIAlertController。一直以来,苹果鼓励开发者调用UIKit,让iOS应用看起来统一设计,开发者只需要对UIAlertController的标题、消息、Action稍作修改,就可以实现难以破解的钓鱼弹窗。辨别真假。这是一段很简单的代码,开发者只要知道怎么写就可以了,问题是开发者有没有想干坏事的意思。你想问开发者怎么会知道我的AppleID邮箱,设计一个弹窗也不难。您认为没有人知道您输入的内容,但该应用已悄悄记录下来。***,苹果不会让这些应用通过审核吧?不好说,虽然苹果在检测第三方应用的安全性方面下了不少功夫,但这两年苹果一直在强调大大缩短了AppStore应用的审核时间,这也意味着评论的质量在一定程度上发生了变化。更糟糕的是,这种弹窗可以在App通过AppStore审核后实现,绕过苹果的各种审核方式,比如使用remotecode,timingcode等(remotecode是禁止的,但还是通过了。审查可能)。如何防止上当受骗:man|type_1_2:?:school:那么,对于用户来说,有没有一种有效的方法可以避免被这种虚假的钓鱼弹窗所欺骗呢?答案是肯定的。可以使用以下方法:1.按一下Home键看它会不会消失。如果系统实现了Alert弹窗,按Home键弹窗不会消失;如果应用程序实现了警报弹出窗口,则按下主页按钮,它就会消失。下图的弹窗是AppStore更新应用时触发的。可以看到在AssistiveTouch中按下Home键后,它并没有消失,而是仍然显示在主屏幕上。同样,不会消失的系统弹出窗口包括使用您的电话号码访问iMessage和FaceTime时的弹出窗口,当您使用TouchID下载应用程序时打开的弹出窗口,等等。这是因为这些弹窗是由iOS系统发送的,与任何应用程序是分离的。但是按Home键识别其他类型的钓鱼弹窗是行不通的,因为在iOS上有很多场景需要AppleID账号和密码。例如,在iOS11中购买第三方应用可能需要输入密码,按下Home键后这些窗口就会消失。2、不要输入或故意输入错误的帐号和密码。如果iOS系统要求你输入AppleID账号和密码,显然你必须输入正确的内容才能继续操作。如果您输入错误或无需输入即可继续,则很可能是网络钓鱼弹出窗口。3、不要在弹窗中输入账号和密码。尽量使用TouchID、FaceID等身份认证方式,避免在弹窗中输入账号密码。如果非要输入进行身份认证,可以在iOS系统的“设置”中进行,因为iOS系统官方的弹窗是从设置中调用用户的身份认证。4.安全保护:双因素认证为你的AppleID启用双因素认证后,当应用程序或服务要访问你的账户时,iOS不仅会要求你输入账号和密码,还会给你向“受信任的任何设备”或“受信任的电话号码”发送验证码,这三项完全正确,才能访问您的AppleID。因此,即使钓鱼弹窗拿到了你的AppleID账号和密码,也无法拿到验证码,短时间内你的账号就安全了。您可以尽快更改您的AppleID账号和密码,以防止数据泄露和财产损失。注:本文作者ElijahLee坚决反对任何组织或个人利用文中方法、代码、图片盗取AppleID、窃取隐私数据、敲诈勒索等违法犯罪行为。
