消费 理财

显示 收起

iphone诈骗又出新招 如何防止被骗?

随着科技的不断发展,骗子的手段也越来越高明了。 虽然苹果系统一直以安全著称,但是现在的骗子却钻了这个空子,引导用户一步步掉进陷阱,近日,iphone诈骗又出新招,用户输入AppleID和密码就会中招。

iphone诈骗又出新招用户要小心

近日,一种新的钓鱼方式出现在苹果手机用户中:因很多iPhone用户习惯了苹果官方弹窗,之后在其中输入AppleID和密码,骗子会创建一个完全相同的弹窗做钓鱼工具。iOS用户不要从不明渠道下载App,最好启用双重验证,双重保护更安心!​

当你的iPhone出现这样的弹窗时,你的第一反应是什么?

iphone诈骗又出新招

我相信大多数人都会立刻在脑海里回忆自己的AppleID账号和密码,记起来之后,把相应的内容填写进去。但,仔细想想,我们怎么确保这个弹窗真的是iOS系统调用的而不是第三方开发者钓鱼呢?

澳大利亚开发者FelixKrause也想到了这个问题,他在他的博客文章中,讨论了开发者故意在自己的应用中设计钓鱼弹窗来盗取用户AppleID与密码的可能性,这种自行设计的弹窗可以做到在显示上与iOS账号密码输入弹窗完全相同。

iphone弹窗骗术揭秘

那么,通过这种钓鱼手段来光明正大地盗取用户AppleID的账号与密码,是否能够实现呢?答案是有可能的。

iphone弹窗如何防骗

首先,不管是哪一代iOS系统,都曾向用户展示过这样的账号密码弹窗,比如在iOS升级时、GameCenter登录时、应用内付费购买时等等。iOS用户已经理所当然地养成了毫不犹疑在这样的输入框中填写账号密码的习惯。因此利用钓鱼弹窗来盗取AppleID账号密码,大多数用户可能都会乖乖配合。

此外,这类弹窗采用的是iOS统一设计规范中的UIKit-UIAlertController。一直以来,Apple都鼓励开发者调用UIKit来使iOS应用看起来有统一的设计,而开发者只需要将UIAlertController的title、message和Action稍作修改,就能实现真假难辨的钓鱼弹窗。这是一段非常简单的代码,只要是位开发者都知道怎么写,所以问题就在于开发者有没有做坏事的心思。

你想问开发者怎么会知道我的AppleID邮箱呢,再设计一个弹窗也不是什么难事。你以为你输入的内容无人知晓,实际上应用已经悄悄记录了下来。

最后,Apple不会让这些应用通过上架审核的吧?这很难说,尽管Apple在检测第三方应用安全性方面做了很多努力,但是近两年Apple一直在强调AppStore应用审核时间大大缩短,这也意味着审核质量在一定程度上发生了变化。

更糟糕的是,这类弹窗完全可以在应用通过AppStore审核后实现,绕开Apple的各种审核手段,例如使用远程代码、定时代码等(远程代码是被禁止使用的,但仍有通过审核的可能)。

点击展开全文
↓ 往下拉,下面的文章更精彩 ↓