要小心！iPhone 突然彈出窗口要求更改密碼？

10月11日， 一名叫費利克斯·克勞斯的開發(fā)者小哥公布了一種釣魚攻擊的新方式， 展示了App開發(fā)者如何使用蘋果官方樣式的彈窗騙取用戶的Apple ID和密碼。

據(jù)新浪科技報道， iPhone和iPad用戶已經(jīng)習(xí)慣了蘋果官方彈窗， 之后在其中輸入Apple ID和密碼， 這種彈窗不一定會出現(xiàn)在App Store或iTunes應(yīng)用程序中。

采用UIAlertController模擬系統(tǒng)密碼請求彈窗的設(shè)計樣式， 第三方App開發(fā)者可以創(chuàng)建一個完全相同的彈窗用作釣魚工具， 可能很多人會上當。

這只是一次實驗室內(nèi)嘗試， 目前并沒有此類問題發(fā)生的報告， 克勞斯已經(jīng)向蘋果公司報告了這一問題， 并建議將蘋果公司要求用戶在設(shè)置中輸入他們的憑證， 而不是直接通過一個可以很容易模仿的彈出框， 或者彈出框上顯示個App圖標， 以表明應(yīng)用程序在要求密碼而不是來自系統(tǒng)。

克勞斯說：

彈出窗口代碼少于30行， 而且每個iOS工程師都能夠快速構(gòu)建自己的釣魚代碼。 然而， 我決定不開源彈出代碼。

一些系統(tǒng)提示需要開發(fā)者提前獲取用戶的Apple ID（即電子郵件）， 但也有一些彈窗不需要電子郵件， 可以直接要求用戶提供密碼。

如何避免被騙：

這種iOS釣魚工具并非第一次出現(xiàn)， 蘋果也有很嚴格的審核機制， 但iOS用戶還是要注意不要從不明渠道下載App。

判斷一個彈出窗口是蘋果官方的還是釣魚根據(jù)目前還比較簡單：

如果彈出一個窗口， 點擊Home鍵關(guān)閉應(yīng)用程序窗口消失， 那它可能是來自App的釣魚攻擊。

如果來自蘋果的系統(tǒng)， 彈窗依然會存在。

另外， 我們建議蘋果產(chǎn)品用戶務(wù)必啟用雙重驗證， 這樣即便你的Apple ID被盜， 犯罪分子也不可能在沒有驗證過的設(shè)備上登錄。 （蘋果官網(wǎng)有如何開啟雙重驗證的教程。 ）