駭客可以透過這個方法取得 Apple ID 密碼且使用者幾乎分辨不出真?zhèn)?/h1>

2022-07-15 19:15:13 編輯：苗韻罡 來源：

導(dǎo)讀 iOS 的封閉式架構(gòu)不大容易中毒，相信這是大家普遍的認(rèn)知，即使 iPhone 有相較之下少很多的漏洞，但一不小心，還是會被駭客精心設(shè)計的圈...

iOS 的封閉式架構(gòu)不大容易中毒，相信這是大家普遍的認(rèn)知，即使 iPhone 有相較之下少很多的漏洞，但一不小心，還是會被駭客精心設(shè)計的圈套給騙了。今天要跟大家介紹的這個安全漏洞就是如此，原理很簡單，但又難以辨別，如果真碰上了相信 90% 以上的用戶都會被盜走帳號密碼，不得不謹(jǐn)慎提防。

一位資深開發(fā)者 Felix Krause 前些日子公布了一個 iOS 漏洞，當(dāng)你在使用某個 App 的時候，會突然跳出一個視窗，要你輸入密碼登入 iTunes。但這個視窗是個「釣魚」訊息，一但輸入密碼后，就會被駭客擷取。

什么是「釣魚」？

「釣魚」與「入侵系統(tǒng)」本質(zhì)上不大相同，所謂「釣魚」是透過假造的網(wǎng)頁（Facebook、Google登入頁面等等），讓使用者誤以為是官方的網(wǎng)站而輸入帳號密碼，類似的做法也常見于偽造的釣魚信件等等。一些比較粗製濫造的釣魚網(wǎng)頁從外觀上就看得出來，更謹(jǐn)慎的使用者只要仔細(xì)檢查網(wǎng)址，也可以發(fā)現(xiàn)并非原本的官方網(wǎng)站。

但，這次 Felix Krause 公布的漏洞真實性更大，更容易誘人上當(dāng)，而且?guī)缀醴直娌怀霾顒e。

出現(xiàn)了更加逼真的釣魚訊息

這個漏洞的方式非常簡單，只要是 App 開發(fā)者，都可以在原始碼中使用「UIAlertController」框架并跳出一個視窗，這是蘋果給開發(fā)者使用的正當(dāng)工具。然而，只要駭客們在視窗上寫上跟 iOS 系統(tǒng)訊息一模一樣的文字，使用者根本分不出差別：

▲ 上方左圖是正常的系統(tǒng)訊息，右圖是開發(fā)者偽造的視窗，根本分不出差別。

由于蘋果給開發(fā)者自訂視窗內(nèi)訊息的權(quán)限，而外觀又跟系統(tǒng)訊息毫無區(qū)別，因此只要駭客一字一句地模仿系統(tǒng)訊息，一般使用者就分辨不出差異。一但輸入密碼，訊息就可以立刻被駭客得知。

幸好，這個手段目前還沒有發(fā)現(xiàn)被駭客使用的案例。Felix Krause 即時發(fā)現(xiàn)并公布了這個釣魚方式，期望人們和蘋果能正視這個問題并盡快作出改善。

如何防範(fàn)這類釣魚訊息？

要如何分辨這個訊息是真的系統(tǒng)通知，還是駭客仿造的呢？其實有個簡單的方法。

由于 iOS 系統(tǒng)限制的關(guān)係，由開發(fā)者製作的彈跳通知只能出現(xiàn)在 App 里。因此當(dāng)你看到這類訊息，又無法確定是否是偽造的，只要按下 HOME 鍵，看看這個訊息視窗會不會跟著消失就好。若視窗跟著 App 一起消失，那就是假的；若按下 HOME 鍵后視窗還在，就是真的系統(tǒng)通知。

當(dāng)然，更安全的做法是「只下載可靠的 App」，不要去 App Store 下載來路不明的第三方工具，要用 Gmail 就用 Google 自己推出的 App，要用 Facebook 就用官方的產(chǎn)品。在下載小工具、游戲等等軟體也盡量選擇可靠的大廠發(fā)行的作品。

蘋果也有義務(wù)改善

當(dāng)然，「彈跳視窗」是蘋果給開發(fā)者的工具，可以用于顯示重要的訊息，這點(diǎn)是沒有問題的。但蘋果應(yīng)該要在之后的更新中修復(fù)這次漏洞，至少讓視窗的外觀與系統(tǒng)通知不同，好讓使用者作出區(qū)別。

雖然蘋果在 App 上架的審核工作上做得還算嚴(yán)謹(jǐn)，但畢竟是人工審核，難免會有漏網(wǎng)之魚。因此呼吁蘋果要在界面上作出調(diào)整，或是限制開發(fā)者在調(diào)跳視窗上輸入訊息的權(quán)限。

在那之前，大家還是養(yǎng)成良好的使用習(xí)慣，就不用擔(dān)心駭客的釣魚訊息了。

標(biāo)簽：

免責(zé)聲明：本文由用戶上傳，如有侵權(quán)請聯(lián)系刪除！

猜你喜歡

• 您的手機(jī)是否可以使用Android 11
• 編程語言 Instagram如何馴服數(shù)百萬行的Python怪物
• 賽博朋克2077在老化的Xbox One X上運(yùn)行令人驚訝
• 一個UI 2.5更新以下是合格的三星Galaxy手機(jī)列表
• 蘋果地圖開放大眾運(yùn)輸工具資料 時刻表、路線規(guī)劃…
• 三星Galaxy Watch Active 2可能會借用一些Apple Watch功能
• Windows10已經(jīng)問世五年了
• 19個衡量區(qū)塊鏈進(jìn)度的有用指標(biāo)
• 三星Galaxy A01 Core智能手機(jī)將配備3000 mAh電池
• 自訂iPhone鍵盤快捷鍵 使用者辭典顏文字不要再複製貼上了
• 具有獨(dú)特雙屏設(shè)計的LG Wing智能手機(jī)正式發(fā)布

最新文章

• 李樹斌（關(guān)于李樹斌的簡介）
• 達(dá)倫布朗（關(guān)于達(dá)倫布朗的簡介）
• Liddicoat＆Goldhill將18世紀(jì)的谷倉改造成英國鄉(xiāng)村住宅
• 梅里達(dá)（關(guān)于梅里達(dá)的簡介）
• 武功山帳篷節(jié)（關(guān)于武功山帳篷節(jié)的簡介）
• 陽江市第一中學(xué)（關(guān)于陽江市第一中學(xué)的簡介）
• 收件箱（關(guān)于收件箱的簡介）
• 論文集（關(guān)于論文集的簡介）
• 缸套（關(guān)于缸套的簡介）
• 吳夢婷（關(guān)于吳夢婷的簡介）
• 壓阻式壓力傳感器（關(guān)于壓阻式壓力傳感器的簡介）
• 騰沖火山（關(guān)于騰沖火山的簡介）
• 北醫(yī)大（關(guān)于北醫(yī)大的簡介）
• 北海疫情:7月15日北海疫情最新消息今天數(shù)據(jù)統(tǒng)計情況通報
• 地方法規(guī)（關(guān)于地方法規(guī)的簡介）
• 黑客可以使用連接汽車來堵塞整個城市
• 郭味?。P(guān)于郭味蕖的簡介）
• 鄭松巖（關(guān)于鄭松巖的簡介）
• accord本田是什么車 accord本田的介紹
• i4：iOS 13.5.5 測試版怎么一鍵刷機(jī)
• 滾筒刷（關(guān)于滾筒刷的簡介）
• 經(jīng)紀(jì)人德隆蒂韋斯特想為所有心理問題患者發(fā)聲家人是他的動力