新用户注册

完善资料

选取头像

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

智能

有人盯上了 iPhone 的账号密码,打算直接问用户要

徐弢2017-10-12 16:27:26

这种攻击方式成本还挺高的。

iOS、Android 应用开发辅助工具 fastlane 创始人、安全专家菲利克斯·克劳斯(Felix Krause)周二公布了一篇文章,认为 iOS 应用开发者可以模拟苹果的系统通知弹窗,骗取用户的 Apple ID 密码。

克劳斯没有提供实际的演示,但他截图警告称:“复制(苹果)系统通知是惊人的容易。”根据他的说法,开发者模拟苹果系统通知可以取用苹果文档内的案例素材,代码编写方面,这种钓鱼弹窗只需要 30 行代码就可以完成,是相对容易的。

他设计了 3 张模拟苹果系统通知的钓鱼对话框,左边是苹果系统通知,右边是模拟的:

相似的骗取 Apple ID 帐号和密码的钓鱼攻击,最常见的可能就是 iPhone 被偷后非苹果官方网站、非官方邮件和短信了。但模拟苹果系统通知的对话框,外观上即便做不到上图那样相似,苹果用户可能也容易相信。

不过在具体实践方面,克劳斯提到的这种钓鱼攻击存在比较大的难度。假如开发者希望获得大量用户的密码,其 iOS 应用本身的功能就需要足够吸引人,才有可能获得很多用户。再加上后续的维护、推广资源,这远不是 30 行代码可以完成的。

如果目标只限于进入 App Store,将这套骗取 Apple ID 密码的通知对话框在上架后再激活,这在技术上是可以实现的。但苹果的应用审查即便最初没发现,钓鱼对话框功能被激活后,仍可能被下架。

2011 年,iOS 开发者丹尼尔·阿米泰(Daniel Amitay)开发的 iPhone 锁屏工具的 Big Brother Camera Security 就在上架后又被撤下。这款应用需要用户输入开机密码,如果对方输入错误就会启用前置摄像头拍下对方的头像。这款应用被撤下的原因,很可能跟阿米泰此前分析用户输入的锁屏密码有关。这款应用改了设计,隔了 2 年才回到苹果应用商店

iPhone 用户可以设置用指纹完成 Apple ID 验证,但 Apple ID 密码这串代码仍然是最重要的密码,时不时就会需要。

至于说上述模拟苹果系统通知的钓鱼攻击,克劳斯给出了识别钓鱼弹窗的方法,即便实施可能性不太大,但对于 iPhone 用户加强安全意识仍然有用。

1.  点击 Home 键,查看应用界面是否跟对话框一起退出,这是因为苹果系统弹窗跟 iOS 应用是分开的两套机制。

  • 如果应用界面跟对话框一起消失,就是一个钓鱼攻击。
  • 如果应用界面和对话框仍然在屏幕上,意味着这是个苹果系统通知。

2.  更谨慎的做法是,不管什么时候,都不要在弹窗里输入密码。忽视掉,进入手机的设置中输入密码。


题图来自:pexels

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。