這辦法能輕鬆弄到你的密碼？我們詳細說

新的隱患

現在每個人都比過去更加地關心自己的手機安全，因為我們深知自己的大量信息都已經捆綁在這個平台上，泄露的後果非常嚴重。但是一方面大多數人的防範知識和意識有限，另一方面我們使用手機太頻繁，總有疏漏的時候。這時，懷有惡意的人就有了可乘之機。

一位資深開發者 Felix Krause 日前公開了一個 iOS 系統中可以被人利用的安全漏洞。通過這個安全隱患，不法者就可以拿到用戶的 Apple ID 密碼。很關鍵的一點是，這種盜號的手段非常簡單，而且一旦有人使用，用戶中招的可能性非常大。所以無論是我們自己還是蘋果，都得重視這個問題。

這本質上是一種釣魚攻擊 —— 如果你在使用某個應用的時候，發現突然出現一個彈窗，讓你輸入密碼登錄進 iTunes Store 里，那就要小心了，因為這很可能就是在套你的密碼。一旦輸入進去，你的 Apple ID 密碼就會被人知曉。

實現的辦法非常簡單，任何一個開發了惡意軟體的開發者，都可以在代碼中使用 UIAlertController 框架，讓一個彈窗出現，上面寫著和 iOS 系統要求你登錄 iTunes Store 時一模一樣的內容。只要你朝著輸入欄里輸入自己的密碼，這個內容就能被發送到開發者那裡。這一切只需要不到 30 行代碼，只是利用了人們的心理弱點而已，任何一個稍有經驗的 iOS 開發者都能夠很快做出自己的釣魚攻擊機制來。

問題就在於，iOS 的系統提醒彈窗和應用的提醒彈窗在界面外觀上是毫無區別的，所以只要一字一句地模仿系統通知的口吻，攻擊者就能偽裝成系統提醒，騙取用戶的信任。

需要注意的是，這種攻擊手段目前還沒有被人利用，它是 Felix Krause 這位開發者發現，並提前公之於眾，希望人們和蘋果都重視起來的。所以我們倒也不需要恐慌，從現在開始防範就好了。

它為何能騙到人？

右邊是偽造的系統通知，可以看到和左邊相比完全沒有區別

這種騙術能夠騙到人嗎？Felix Krause 認為可能性是存在的，而且一旦出現幾率會很大。某種程度上，這和 iOS 的機制以及人之常情有關係。

iOS 系統經常會要求用戶輸入 Apple ID 的密碼，比如系統更新，應用安裝過程中卡住，當然還有應用下載，內購等等。這些提示會出現得比較頻繁，我們也已經習慣了這種節奏。出於對 iOS 和蘋果的信任，再加上頻繁要求輸入密碼畢竟也是安全性上的考慮，很多時候，我們會毫不猶豫地將密碼打進去。

如果在使用惡意應用時出現這樣的提示框，我們很容易就會認為，接下來的操作可能會涉及到安全因素，需要自己打密碼來進行授權。畢竟如果不輸入的話，有些功能就不可用了，那當然就照著做了。再加上上文所說的，這種提示框的樣子和真正的系統通知沒有任何區別，欺騙性就非常高了。

還有一點就是，現在需要進行安全驗證的地方實在是太多了，雖然這是為了保護隱私考慮，但也很容易讓人們放鬆警惕。畢竟，同一件事情做得太多了，下次再讓我們去做的時候，很可能根本就不會過腦再去想想了。為了方便記憶，我們很多時候多個服務使用的密碼都是同一個。這種高度的重複性，更加縮短了我們的思考過程。

所以一旦密碼通過這種方式泄露，也就更危險，因為這樣一來攻擊者就可以憑藉這個線索，用相同的密碼試其他的服務。一般來說，這基本都能一抓一個準。所以到最後，我們丟的可能不僅僅是 Apple ID 了。

我們所需要做的

那麼我們應該如何來防範呢？其實辦法倒也沒有那麼複雜。最簡單也是最有效的做法，就是只下載那些知名的、可靠的、普遍評價好的應用，而不去輕易嘗試來源可疑的那些應用。這種攻擊必須依託應用本身，攻擊者無法遠程給你推送提示彈窗。如果你一直堅持使用可靠的應用，那就很難得碰上這種釣魚攻擊了。

如果真的在使用應用的過程中碰到了突然的要求輸入密碼的彈窗，而自己又非常不確定這是不是陷阱的時候呢？Krause 推薦我們按下 Home 鍵。按下去後如果沒有退回主界面，而且提示框還在，那這就是真的系統通知，因為系統通知運行的另一個不同的進程。反之，那就是釣魚攻擊。

還有一種辦法，就是隨便輸入一些和密碼完全無關的字元。如果說即使這樣，應用還是顯示登錄成功，那麼這很明顯就是騙人的了。

所以說一千道一萬，最關鍵的還是自己平時用手機的時候得多留一個心眼，增加防範的意識。當然了，要求所有人都去了解這些，時時刻刻繃緊神經肯定不現實。所以，蘋果同樣有責任要解決這個問題。

蘋果所需要做的

蘋果所應該做的事情，最簡單最笨的方案就是取消彈窗輸入密碼機制，自動打開或讓用戶自己去設置里完成登錄。這是一種辦法，但是會比較影響體驗，畢竟多了些步驟，久而久之還是會讓人覺得麻煩。

如果要從更加本質上去解決問題，那就得將系統彈窗和應用彈窗從界面外觀上區分開來。至少，來自應用的彈窗也應該在顯眼出有該應用的圖標。這樣人們才能夠分得清，究竟哪些才是安全的、來自系統的應用。

另外，蘋果可以考慮優化 Apple ID 密碼驗證機制，讓用戶不再需要頻繁去輸入密碼確認。這樣，某種程度上也能讓人們在類似的事件發生時，能更謹慎地去觀察，而不是習慣成自然地全盤照做。

總的來說蘋果在應用上架審核上還是很到位的，但在審核通過後再去加入這些惡意代碼的辦法不是沒有，所以我們還是得小心防範。平時使用應用的時候多注意，等待蘋果在今後的版本里想辦法解決問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！