上周,iOS、Android 应用开发辅助工具 Fastlane 的创始人、安全专家 Felix Krause 公布了一篇文章(链接在此:https://krausefx.com/)。
其中的内容让雷锋网编辑看的虎躯一震,如果软件开发者想钓到你的 Apple ID ,能做出几乎可以乱真的账号密码对话框。对于我这种游戏党来说,下载各类游戏时经常需要输入密码,一般来说是不会怀疑的。如果被钓到,岂不是可以修改我的密码,远程锁机勒索我?
在没有提示的情况下,你能分清下面哪个是钓鱼软件么?
▲不是质疑大家的英语水平,右边是钓鱼的
作为配置 iOS 和 Android 自动化 Beta 部署和发布的最简单的工具之一,FastLane 可以简化一些乏味、单调、重复的工作,比如截图、代码签名以及发布 App,所以深受不少开发者的喜爱。而 Felix Krause 正是在此过程中发现了软件开发者可以做出虚假系统对话框,以此来钓到用户的 Apple ID 和密码。
APP 如何钓到用户的账号和密码?
APP 如何才能盗取用户的 Apple ID 账号? Felix Krause 在文中解释,iOS 应用程序会利用 UIAlertController 来弹出假的 Apple ID 登陆窗口。
那啥是 UIAlertController ?
就是我们经常能见到的这个框框↓↓↓
▲UIAlertController 的登录和密码对话框示例
软件开发者可以用 UIAlertController 来制作一个可以让用户输入账号和密码的对话框。
在我们下载各类应用时,经常需要输入密码,那这时候出现的对话框往往是系统发出的请求。
但是,如果你身处某个应用当中时,比如某款游戏需要充值了,这时候很可能弹出需要输入密码的对话框,这样的界面会让用户放松警惕,输入自己的 Apple ID 密码。
这就到了钓鱼软件发挥作用的时候了,你填写进去的账号密码瞬间就能发到黑客的后台。之前雷锋网编辑的手机被偷,就遇到了钓鱼短信,在大神破解后,我们看到了这样的后台↓↓↓简直是触目惊心!
有人会问,那对方得知道我的邮箱才能钓到鱼,如果我的邮箱没被泄露就不会……
你还是太天真~
对方可以选择让你输入邮箱账号啊↓↓↓
不过,大家不不必过分担忧, Felix Krause 在文中说,
这种钓鱼手法还只存在于概念之中。出于对用户安全考虑,苹果会对上架 App Store 第三方应用进行审核,只有在应用程序被批准之后才能运行某些代码。
苹果会不会允许钓鱼 APP 的存在?
就在大家都以为这种事情暂时还没有担心的必要时,Felix Krause 在文中的 Q&A 环节对苹果会不会允许这种钓鱼 APP 存在的回应,让雷锋网(公众号:雷锋网)编辑看的又开始心中一紧~
答案是肯定的。虽然 App Store 有很多的安全机制,但是有很多的办法可以绕过,比如:
使用远程代码, JS 桥等;
用 iTunes search API 来比较现在的版本号和 App Store 中的版本号,这样的话 app 可以在得到同意后,自动执行恶意代码;
用远程配置工具来配置一个只有 Apple 通过后才执行的特征;
使用基于时间的触发器,只有当 app 通过审核或拒绝后才执行;
如何识别钓鱼攻击?
既然危险处处都有,我们就要加强防备心,怎样练就火眼金睛?Felix Krause 给出了识别真假弹框的建议:
如果在应用程序中出现了账户密码弹窗,点击手机“home”键返回主页面,如果回到主页面后弹窗也消失,那么这个窗口就是假的,这就是一次钓鱼攻击行为。
如果回到主页面后,账户密码弹窗依然存在,那么这就是系统自带的弹窗,是真的。
这么做的原因在于,系统自带的弹窗使用的进程和应用程序的进程不同。
万一中招,如何善后?
如果有天你脑壳方掉,真的是不小心就输入了自己的账号和密码怎么办呢?
雷锋网特地打电话问了一下苹果客服,得到如下答复↓↓↓
带上你的发票,外包装和三包卡(二选一),去找苹果售后。
为避免出现账号被盗的情况,应立即开启双重验证, ios9 以上的用户都可以开启,即使对方拿到你的 ID 和密码,他要修改密码也得向你的苹果设备发验证码进行再次确认。
参考消息:https://krausefx.com/