駭客可以透過(guò)這個(gè)方法取得 Apple ID 密碼且使用者幾乎分辨不出真?zhèn)?/h1>

2022-07-15 19:15:13 編輯：苗韻罡 來(lái)源：

導(dǎo)讀 iOS 的封閉式架構(gòu)不大容易中毒，相信這是大家普遍的認(rèn)知，即使 iPhone 有相較之下少很多的漏洞，但一不小心，還是會(huì)被駭客精心設(shè)計(jì)的圈...

iOS 的封閉式架構(gòu)不大容易中毒，相信這是大家普遍的認(rèn)知，即使 iPhone 有相較之下少很多的漏洞，但一不小心，還是會(huì)被駭客精心設(shè)計(jì)的圈套給騙了。今天要跟大家介紹的這個(gè)安全漏洞就是如此，原理很簡(jiǎn)單，但又難以辨別，如果真碰上了相信 90% 以上的用戶(hù)都會(huì)被盜走帳號(hào)密碼，不得不謹(jǐn)慎提防。

一位資深開(kāi)發(fā)者 Felix Krause 前些日子公布了一個(gè) iOS 漏洞，當(dāng)你在使用某個(gè) App 的時(shí)候，會(huì)突然跳出一個(gè)視窗，要你輸入密碼登入 iTunes。但這個(gè)視窗是個(gè)「釣魚(yú)」訊息，一但輸入密碼后，就會(huì)被駭客擷取。

什么是「釣魚(yú)」？

「釣魚(yú)」與「入侵系統(tǒng)」本質(zhì)上不大相同，所謂「釣魚(yú)」是透過(guò)假造的網(wǎng)頁(yè)（Facebook、Google登入頁(yè)面等等），讓使用者誤以為是官方的網(wǎng)站而輸入帳號(hào)密碼，類(lèi)似的做法也常見(jiàn)于偽造的釣魚(yú)信件等等。一些比較粗製濫造的釣魚(yú)網(wǎng)頁(yè)從外觀(guān)上就看得出來(lái)，更謹(jǐn)慎的使用者只要仔細(xì)檢查網(wǎng)址，也可以發(fā)現(xiàn)并非原本的官方網(wǎng)站。

但，這次 Felix Krause 公布的漏洞真實(shí)性更大，更容易誘人上當(dāng)，而且?guī)缀醴直娌怀霾顒e。

出現(xiàn)了更加逼真的釣魚(yú)訊息

這個(gè)漏洞的方式非常簡(jiǎn)單，只要是 App 開(kāi)發(fā)者，都可以在原始碼中使用「UIAlertController」框架并跳出一個(gè)視窗，這是蘋(píng)果給開(kāi)發(fā)者使用的正當(dāng)工具。然而，只要駭客們?cè)谝暣吧蠈?xiě)上跟 iOS 系統(tǒng)訊息一模一樣的文字，使用者根本分不出差別：

▲ 上方左圖是正常的系統(tǒng)訊息，右圖是開(kāi)發(fā)者偽造的視窗，根本分不出差別。

由于蘋(píng)果給開(kāi)發(fā)者自訂視窗內(nèi)訊息的權(quán)限，而外觀(guān)又跟系統(tǒng)訊息毫無(wú)區(qū)別，因此只要駭客一字一句地模仿系統(tǒng)訊息，一般使用者就分辨不出差異。一但輸入密碼，訊息就可以立刻被駭客得知。

幸好，這個(gè)手段目前還沒(méi)有發(fā)現(xiàn)被駭客使用的案例。Felix Krause 即時(shí)發(fā)現(xiàn)并公布了這個(gè)釣魚(yú)方式，期望人們和蘋(píng)果能正視這個(gè)問(wèn)題并盡快作出改善。

如何防範(fàn)這類(lèi)釣魚(yú)訊息？

要如何分辨這個(gè)訊息是真的系統(tǒng)通知，還是駭客仿造的呢？其實(shí)有個(gè)簡(jiǎn)單的方法。

由于 iOS 系統(tǒng)限制的關(guān)係，由開(kāi)發(fā)者製作的彈跳通知只能出現(xiàn)在 App 里。因此當(dāng)你看到這類(lèi)訊息，又無(wú)法確定是否是偽造的，只要按下 HOME 鍵，看看這個(gè)訊息視窗會(huì)不會(huì)跟著消失就好。若視窗跟著 App 一起消失，那就是假的；若按下 HOME 鍵后視窗還在，就是真的系統(tǒng)通知。

當(dāng)然，更安全的做法是「只下載可靠的 App」，不要去 App Store 下載來(lái)路不明的第三方工具，要用 Gmail 就用 Google 自己推出的 App，要用 Facebook 就用官方的產(chǎn)品。在下載小工具、游戲等等軟體也盡量選擇可靠的大廠(chǎng)發(fā)行的作品。

蘋(píng)果也有義務(wù)改善

當(dāng)然，「彈跳視窗」是蘋(píng)果給開(kāi)發(fā)者的工具，可以用于顯示重要的訊息，這點(diǎn)是沒(méi)有問(wèn)題的。但蘋(píng)果應(yīng)該要在之后的更新中修復(fù)這次漏洞，至少讓視窗的外觀(guān)與系統(tǒng)通知不同，好讓使用者作出區(qū)別。

雖然蘋(píng)果在 App 上架的審核工作上做得還算嚴(yán)謹(jǐn)，但畢竟是人工審核，難免會(huì)有漏網(wǎng)之魚(yú)。因此呼吁蘋(píng)果要在界面上作出調(diào)整，或是限制開(kāi)發(fā)者在調(diào)跳視窗上輸入訊息的權(quán)限。

在那之前，大家還是養(yǎng)成良好的使用習(xí)慣，就不用擔(dān)心駭客的釣魚(yú)訊息了。

標(biāo)簽：

免責(zé)聲明：本文由用戶(hù)上傳，如有侵權(quán)請(qǐng)聯(lián)系刪除！

猜你喜歡

• 您的手機(jī)是否可以使用Android 11
• 編程語(yǔ)言 Instagram如何馴服數(shù)百萬(wàn)行的Python怪物
• 賽博朋克2077在老化的Xbox One X上運(yùn)行令人驚訝
• 一個(gè)UI 2.5更新以下是合格的三星Galaxy手機(jī)列表
• 蘋(píng)果地圖開(kāi)放大眾運(yùn)輸工具資料 時(shí)刻表、路線(xiàn)規(guī)劃…
• 三星Galaxy Watch Active 2可能會(huì)借用一些Apple Watch功能
• Windows10已經(jīng)問(wèn)世五年了
• 19個(gè)衡量區(qū)塊鏈進(jìn)度的有用指標(biāo)
• 三星Galaxy A01 Core智能手機(jī)將配備3000 mAh電池
• 自訂iPhone鍵盤(pán)快捷鍵 使用者辭典顏文字不要再複製貼上了
• 具有獨(dú)特雙屏設(shè)計(jì)的LG Wing智能手機(jī)正式發(fā)布

最新文章

• 李樹(shù)斌（關(guān)于李樹(shù)斌的簡(jiǎn)介）
• 達(dá)倫布朗（關(guān)于達(dá)倫布朗的簡(jiǎn)介）
• Liddicoat＆Goldhill將18世紀(jì)的谷倉(cāng)改造成英國(guó)鄉(xiāng)村住宅
• 梅里達(dá)（關(guān)于梅里達(dá)的簡(jiǎn)介）
• 武功山帳篷節(jié)（關(guān)于武功山帳篷節(jié)的簡(jiǎn)介）
• 陽(yáng)江市第一中學(xué)（關(guān)于陽(yáng)江市第一中學(xué)的簡(jiǎn)介）
• 收件箱（關(guān)于收件箱的簡(jiǎn)介）
• 論文集（關(guān)于論文集的簡(jiǎn)介）
• 缸套（關(guān)于缸套的簡(jiǎn)介）
• 吳夢(mèng)婷（關(guān)于吳夢(mèng)婷的簡(jiǎn)介）
• 壓阻式壓力傳感器（關(guān)于壓阻式壓力傳感器的簡(jiǎn)介）
• 騰沖火山（關(guān)于騰沖火山的簡(jiǎn)介）
• 北醫(yī)大（關(guān)于北醫(yī)大的簡(jiǎn)介）
• 北海疫情:7月15日北海疫情最新消息今天數(shù)據(jù)統(tǒng)計(jì)情況通報(bào)
• 地方法規(guī)（關(guān)于地方法規(guī)的簡(jiǎn)介）
• 黑客可以使用連接汽車(chē)來(lái)堵塞整個(gè)城市
• 郭味蕖（關(guān)于郭味蕖的簡(jiǎn)介）
• 鄭松巖（關(guān)于鄭松巖的簡(jiǎn)介）
• accord本田是什么車(chē) accord本田的介紹
• i4：iOS 13.5.5 測(cè)試版怎么一鍵刷機(jī)
• 斯?jié)杀葋喛耍P(guān)于斯?jié)杀葋喛说暮?jiǎn)介）
• 滾筒刷（關(guān)于滾筒刷的簡(jiǎn)介）
• 經(jīng)紀(jì)人德隆蒂韋斯特想為所有心理問(wèn)題患者發(fā)聲家人是他的動(dòng)力