日前,一名叫Felix Krause的國外開發(fā)者今天公布了一種釣魚攻擊的新方式,展示了App開發(fā)者如何使用蘋果官方樣式的彈窗騙取用戶的Apple ID和密碼。
容易模仿的彈出框
iPhone和iPad用戶已經(jīng)習慣了蘋果官方彈窗,之后在其中輸入Apple ID和密碼,這種彈窗不一定會出現(xiàn)在App Store或iTunes應用程序中。采用UIAlertController模擬系統(tǒng)密碼請求彈窗的設計樣式,第三方App開發(fā)者可以創(chuàng)建一個完全相同的彈窗用作釣魚工具,可能很多人會上當。
這只是一次實驗室內(nèi)嘗試,目前并沒有此類問題發(fā)生的報告,Krause已經(jīng)向蘋果公司報告了這一問題,并建議將蘋果公司要求用戶在設置中輸入他們的憑證,而不是直接通過一個可以很容易模仿的彈出框,或者彈出框上顯示個App圖標,以表明應用程序在要求密碼而不是來自系統(tǒng)。
對此,Krause說:
它(彈出窗口)代碼少于30行,而且每個IOS工程師都能夠快速構(gòu)建自己的釣魚代碼。然而,我決定不開源彈出代碼。
一些系統(tǒng)提示需要開發(fā)者提前獲取用戶的Apple ID(即電子郵件),但也有一些彈窗不需要電子郵件,可以直接要求用戶提供密碼。