iPhone 诈骗又出新招，别看见弹窗就输密码-低调大师

iPhone 诈骗又出新招，别看见弹窗就输密码

2017-10-31 626

当你的 iPhone 出现这样的弹窗时，你的第一反应是什么？

我相信大多数人都会立刻在脑海里回忆自己的 Apple ID 账号和密码，记起来之后，把相应的内容填写进去。但，仔细想想，我们怎么确保这个弹窗真的是 iOS 系统调用的而不是第三方开发者钓鱼呢？

澳大利亚开发者 Felix Krause 也想到了这个问题，他在他的博客文章中，讨论了开发者故意在自己的应用中设计钓鱼弹窗来盗取用户 Apple ID 与密码的可能性，这种自行设计的弹窗可以做到在显示上与 iOS 账号密码输入弹窗完全相同。

:white_check_mark: 为 iOS 官方系统弹窗；:no_entry_sign: 为钓鱼弹窗

骗术揭秘 :gun:

那么，通过这种钓鱼手段来「光明正大」地盗取用户 Apple ID 的账号与密码，是否能够实现呢？答案是有可能的。

首先，不管是哪一代 iOS 系统，都曾向用户展示过这样的账号密码弹窗，比如在 iOS 升级时、Game Center 登录时、应用内付费购买时等等。iOS 用户已经理所当然地养成了毫不犹疑在这样的输入框中填写账号密码的习惯。因此利用钓鱼弹窗来盗取 Apple ID 账号密码，大多数用户可能都会乖乖配合。

此外，这类弹窗采用的是 iOS 统一设计规范中的 UIKit - UIAlertController。一直以来，Apple 都鼓励开发者调用 UIKit 来使 iOS 应用看起来有统一的设计，而开发者只需要将 UIAlertController 的 title、message 和 Action 稍作修改，就能实现真假难辨的钓鱼弹窗。这是一段非常简单的代码，只要是位开发者都知道怎么写，所以问题就在于开发者有没有做坏事的心思。

你想问开发者怎么会知道我的 Apple ID 邮箱呢，再设计一个弹窗也不是什么难事。你以为你输入的内容无人知晓，实际上应用已经悄悄记录了下来。

最后，Apple 不会让这些应用通过上架审核的吧？这很难说，尽管 Apple 在检测第三方应用安全性方面做了很多努力，但是近两年 Apple 一直在强调 App Store 应用审核时间大大缩短，这也意味着审核质量在一定程度上发生了变化。

更糟糕的是，这类弹窗完全可以在应用通过 App Store审核后实现，绕开 Apple 的各种审核手段，例如使用远程代码、定时代码等（远程代码是被禁止使用的，但仍有通过审核的可能）。

如何防骗 :man|type_1_2:‍:school:

那么，对用户而言，是否有一种有效的手段可以避免被这类以假乱真的钓鱼弹窗欺骗呢？答案也是肯定的。以下的方法都可以使用：

1.按一下 Home 键看看它会不会消失

如果一个 Alert 弹窗是系统实现的，那么按下 Home 键，它不会消失；而如果一个 Alert 弹窗是应用实现的，那么按下 Home 键，它会消失。下图的弹窗是在 App Store 更新应用时触发的，可以看到按下 AssistiveTouch 中的 Home 键后，它并没有消失，而仍然显示在主屏幕上。

同样，不会消失的系统弹窗还有将电话号码用于 iMessage 和 FaceTime 时的弹窗、开启使用 Touch ID 下载应用时的弹窗等。这是因为这些弹窗都是由 iOS 系统发出的，脱离于任何一个应用之外。

不过，按下 Home 键来辨别其它类型的钓鱼弹窗就不管用了，因为 iOS 上需要 Apple ID 账号和密码的场景很多。比如在 iOS 11 中第三方应用的内购，可能会需要输入密码，而这些窗口在按下 Home 键后是会消失的。

2.不输入或故意输入错误的账号和密码

如果是 iOS 系统要求你输入 Apple ID 账号和密码，显然你必须输入正确的内容，才能使操作继续。而如果你输入了错误的内容或者干脆不输入也能继续，那么很有可能这是钓鱼弹窗。

3.不要在弹窗中输入账号和密码

尽量使用 Touch ID、Face ID 等身份认证方式，而避免在弹窗中输入账号密码。如果一定要输入才能进行身份认证，可以在 iOS 系统的「设置」中进行，因为 iOS 系统官方的弹窗，就是从设置中调取用户的身份认证。

4.终极保护：双重认证

为你的 Apple ID 开启双重认证后，当有应用或服务想要访问你的账号时，iOS 除了要求你输入账号和密码之外，还会给你的「受信任设备」或「受信任电话号码」发送验证码，这三项完全正确，才能访问你的 Apple ID。因此，即使钓鱼弹窗获取了你的 Apple ID 账号和密码，它们也无法得知验证码，在短时间内你的账户还是安全的。你可以尽快修改 Apple ID 账号和密码，以防数据泄漏财产损失。

注：本文作者 ElijahLee 坚决反对一切组织或个人使用文章中的方法、代码、图片等一切形式进行盗取 Apple ID、窃取隐私数据、敲诈勒索等违法犯罪行为。

原文发布时间为：2017-10-17

本文作者：佚名

本文来自云栖社区合作伙伴51CTO，了解相关信息可以关注51CTO。

微信关注我们

原文链接：https://yq.aliyun.com/articles/247336

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

锐捷网络：Wi-Fi WPA2漏洞解析和预防指南

什么是KRACK漏洞(Key Reinstallation Attacks)? KRACK漏洞，即密钥重装攻击漏洞，是2017年10月16日由比利时研究人员Mathy Vanhoef(马蒂·万赫弗)发布的WPA/WPA2协议安全问题。该漏洞通过WPA/WPA2协议在实现上的缺陷，触发密钥的重安装，可能使中间人攻击者获得解密无线数据包的能力。通用漏洞披露网站(CVE)记录了10几个KRACK漏洞可能引发的问题(CVE-2017-13077 ~ 13082，CVE-2017-13084 ~ 13088)，实际上这十几个漏洞均指向同一个问题--密钥重装。这类安全缺陷存在于 Wi-Fi 标准本身，而非特定某些产品或者实现方案中。本质上，为了保证安全，一个密钥只应该安装和使用一次，而WPA2却没有保障这一点。论文《Key Reinstallation Attacks:Forcing Nonce Reuse in WPA2》内的POC(Proof of Concept)，对一部 Android 手机执行了一次 KRACK。在本次演示中，攻击者有能力对受害者传输的全部数据进行解密。对于攻击方而...

2017-10-31

656

比利时鲁汶大学的两位研究人员正式披露了被命名为KRACK（Key Reinstallation Attacks）的密钥重安装攻击，他们开发的概念验证攻击演示了对 Android 设备传输数据的解密能力。如果你的设备支持 Wi-Fi，那么很有可能你的设备受到影响。运行 Android、Linux、Apple、Windows、OpenBSD、联发科和 Linksys 的系统都受到影响，其中 OpenBSD 于 7 月 15 日收到通知但抢在正式公开前的 8 月 30 日就释出了补丁。研究人员有些不满，他们表示提前释出的补丁可能会被其他人研究，从而重新发现漏洞。未来 OpenBSD 不会再太早收到漏洞的安全通知了。原文发布时间为：2017-10-17 本文作者：佚名本文来自云栖社区合作伙伴51CTO，了解相关信息可以关注51CTO。

2017-10-31

652

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。