蘋果用戶需警惕！虛假釣魚彈框騙取APPLE ID密碼

一個新的釣魚攻擊可能讓你送出自己的APPLE ID 密碼

如果你有長期使用iOS設備，那你肯定會遇到過突然冒出來一個對話框，讓你輸入你的APPLE ID密碼。而這種情況通常會在你使用App Store和iTunes Store的時候出現。但實際上，除了以上兩種情況以外，這種對話框還會隨機出現，取決於你在後台所運行的應用。

一位名叫「Felix Krause」的開發者在自己的一篇文章中就指出，這種彈框很容易誘導iOS用戶乖乖奉上自己的APPLE ID的密碼。

左為官方彈窗，右為釣魚彈窗

這名開發者解釋道，對於一個iOS App開發者來說，想獲取用戶的APPLE ID密碼非常容易。只要在app中發送那個彈出窗口，然後就可以記錄下用戶的APPLE ID和密碼。這整個流程，只需要不到30行代碼，而且可以被放置在任何合法的iOS應用中，而且可以輕鬆逃過蘋果App Store的審查團隊。

讓對話框看起像系統彈框其實非常簡單，根本不需要什麼牛逼的技巧和代碼。雖然我決定不放出真正的彈出代碼，但它真的非常簡單，只需要不到30行。幾乎每個ios工程師都能快速構建起自己的釣魚代碼。

Krause提及：這個問題在桌面系統瀏覽器上其實就已經存在多年了，網站會彈出假的輸入框讓用戶輸入賬號密碼，而這彈框幾乎和系統通知完全相同。而現在，iOS也面臨這種問題。他說，他已經向蘋果公司反應了這一問題，並解釋道：解決辦法很簡單，只要蘋果不允許在彈窗中輸入賬號密碼，而是只能在設置和APP STORE中。

而目前對此，他給出了以下幾個對策：

點擊home鍵，看看app是否退出:

如果它關閉了應用程序，並與它對話，那麼這是一個釣魚攻擊

如果對話框和app仍然可見，那麼它就是一個系統對話框。原因是系統對話運行在一個不同的過程，而不是作為任何iOS應用的一部分。

不要把你的憑證輸入到彈出窗口中，而是關閉它，然後手動打開設置應用程序。這是同樣的概念，就像你不應該點擊郵件上的鏈接，而是手動打開網站

如果在對話框中點擊取消按鈕，應用程序仍然可以訪問密碼欄位的內容。甚至在輸入第一個字元後，應用程序可能已經有了你的密碼。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！