2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
iOS 的封閉式架構(gòu)不大容易中毒,相信這是大家普遍的認(rèn)知,即使 iPhone 有相較之下少很多的漏洞,但一不小心,還是會(huì)被駭客精心設(shè)計(jì)的圈套給騙了。今天要跟大家介紹的這個(gè)安全漏洞就是如此,原理很簡單,但又難以辨別,如果真碰上了相信 90% 以上的用戶都會(huì)被盜走帳號(hào)密碼,不得不謹(jǐn)慎提防。
一位資深開發(fā)者 Felix Krause 前些日子公布了一個(gè) iOS 漏洞,當(dāng)你在使用某個(gè) App 的時(shí)候,會(huì)突然跳出一個(gè)視窗,要你輸入密碼登入 iTunes。但這個(gè)視窗是個(gè)「釣魚」訊息,一但輸入密碼后,就會(huì)被駭客擷取。
什么是「釣魚」?「釣魚」與「入侵系統(tǒng)」本質(zhì)上不大相同,所謂「釣魚」是透過假造的網(wǎng)頁(Facebook、Google登入頁面等等),讓使用者誤以為是官方的網(wǎng)站而輸入帳號(hào)密碼,類似的做法也常見于偽造的釣魚信件等等。一些比較粗製濫造的釣魚網(wǎng)頁從外觀上就看得出來,更謹(jǐn)慎的使用者只要仔細(xì)檢查網(wǎng)址,也可以發(fā)現(xiàn)并非原本的官方網(wǎng)站。
但,這次 Felix Krause 公布的漏洞真實(shí)性更大,更容易誘人上當(dāng),而且?guī)缀醴直娌怀霾顒e。
出現(xiàn)了更加逼真的釣魚訊息這個(gè)漏洞的方式非常簡單,只要是 App 開發(fā)者,都可以在原始碼中使用「UIAlertController」框架并跳出一個(gè)視窗,這是蘋果給開發(fā)者使用的正當(dāng)工具。然而,只要駭客們?cè)谝暣吧蠈懮细?iOS 系統(tǒng)訊息一模一樣的文字,使用者根本分不出差別:
▲ 上方左圖是正常的系統(tǒng)訊息,右圖是開發(fā)者偽造的視窗,根本分不出差別。
由于蘋果給開發(fā)者自訂視窗內(nèi)訊息的權(quán)限,而外觀又跟系統(tǒng)訊息毫無區(qū)別,因此只要駭客一字一句地模仿系統(tǒng)訊息,一般使用者就分辨不出差異。一但輸入密碼,訊息就可以立刻被駭客得知。
幸好,這個(gè)手段目前還沒有發(fā)現(xiàn)被駭客使用的案例。Felix Krause 即時(shí)發(fā)現(xiàn)并公布了這個(gè)釣魚方式,期望人們和蘋果能正視這個(gè)問題并盡快作出改善。
如何防範(fàn)這類釣魚訊息?要如何分辨這個(gè)訊息是真的系統(tǒng)通知,還是駭客仿造的呢?其實(shí)有個(gè)簡單的方法。
由于 iOS 系統(tǒng)限制的關(guān)係,由開發(fā)者製作的彈跳通知只能出現(xiàn)在 App 里。因此當(dāng)你看到這類訊息,又無法確定是否是偽造的,只要按下 HOME 鍵,看看這個(gè)訊息視窗會(huì)不會(huì)跟著消失就好。若視窗跟著 App 一起消失,那就是假的;若按下 HOME 鍵后視窗還在,就是真的系統(tǒng)通知。
當(dāng)然,更安全的做法是「只下載可靠的 App」,不要去 App Store 下載來路不明的第三方工具,要用 Gmail 就用 Google 自己推出的 App,要用 Facebook 就用官方的產(chǎn)品。在下載小工具、游戲等等軟體也盡量選擇可靠的大廠發(fā)行的作品。
蘋果也有義務(wù)改善當(dāng)然,「彈跳視窗」是蘋果給開發(fā)者的工具,可以用于顯示重要的訊息,這點(diǎn)是沒有問題的。但蘋果應(yīng)該要在之后的更新中修復(fù)這次漏洞,至少讓視窗的外觀與系統(tǒng)通知不同,好讓使用者作出區(qū)別。
雖然蘋果在 App 上架的審核工作上做得還算嚴(yán)謹(jǐn),但畢竟是人工審核,難免會(huì)有漏網(wǎng)之魚。因此呼吁蘋果要在界面上作出調(diào)整,或是限制開發(fā)者在調(diào)跳視窗上輸入訊息的權(quán)限。
在那之前,大家還是養(yǎng)成良好的使用習(xí)慣,就不用擔(dān)心駭客的釣魚訊息了。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。