上周，iOS、Android 應(yīng)用開(kāi)發(fā)輔助工具 Fastlane 的創(chuàng)始人、安全專(zhuān)家 Felix Krause 公布了一篇文章（鏈接在此：https://krausefx.com/）。

其中的內(nèi)容讓雷鋒網(wǎng)編輯看的虎軀一震，如果軟件開(kāi)發(fā)者想釣到你的 Apple ID ，能做出幾乎可以亂真的賬號(hào)密碼對(duì)話框。對(duì)于我這種游戲黨來(lái)說(shuō)，下載各類(lèi)游戲時(shí)經(jīng)常需要輸入密碼，一般來(lái)說(shuō)是不會(huì)懷疑的。如果被釣到，豈不是可以修改我的密碼，遠(yuǎn)程鎖機(jī)勒索我？

在沒(méi)有提示的情況下，你能分清下面哪個(gè)是釣魚(yú)軟件么？

▲不是質(zhì)疑大家的英語(yǔ)水平，右邊是釣魚(yú)的

作為配置 iOS 和 Android 自動(dòng)化Beta部署和發(fā)布的最簡(jiǎn)單的工具之一，F(xiàn)astLane可以簡(jiǎn)化一些乏味、單調(diào)、重復(fù)的工作，比如截圖、代碼簽名以及發(fā)布App，所以深受不少開(kāi)發(fā)者的喜愛(ài)。而 Felix Krause 正是在此過(guò)程中發(fā)現(xiàn)了軟件開(kāi)發(fā)者可以做出虛假系統(tǒng)對(duì)話框，以此來(lái)釣到用戶(hù)的Apple ID 和密碼。

APP如何釣到用戶(hù)的賬號(hào)和密碼？

APP如何才能盜取用戶(hù)的 Apple ID賬號(hào)？ Felix Krause 在文中解釋?zhuān)琲OS應(yīng)用程序會(huì)利用 UIAlertController 來(lái)彈出假的Apple ID登陸窗口。

那啥是 UIAlertController ？

就是我們經(jīng)常能見(jiàn)到的這個(gè)框框↓↓↓

▲UIAlertController的登錄和密碼對(duì)話框示例

軟件開(kāi)發(fā)者可以用 UIAlertController來(lái)制作一個(gè)可以讓用戶(hù)輸入賬號(hào)和密碼的對(duì)話框。

在我們下載各類(lèi)應(yīng)用時(shí)，經(jīng)常需要輸入密碼，那這時(shí)候出現(xiàn)的對(duì)話框往往是系統(tǒng)發(fā)出的請(qǐng)求。

但是，如果你身處某個(gè)應(yīng)用當(dāng)中時(shí)，比如某款游戲需要充值了，這時(shí)候很可能彈出需要輸入密碼的對(duì)話框，這樣的界面會(huì)讓用戶(hù)放松警惕，輸入自己的Apple ID密碼。

這就到了釣魚(yú)軟件發(fā)揮作用的時(shí)候了，你填寫(xiě)進(jìn)去的賬號(hào)密碼瞬間就能發(fā)到黑客的后臺(tái)。之前雷鋒網(wǎng)編輯的手機(jī)被偷，就遇到了釣魚(yú)短信，在大神破解后，我們看到了這樣的后臺(tái)↓↓↓簡(jiǎn)直是觸目驚心！

有人會(huì)問(wèn)，那對(duì)方得知道我的郵箱才能釣到魚(yú)，如果我的郵箱沒(méi)被泄露就不會(huì)……

你還是太天真~

對(duì)方可以選擇讓你輸入郵箱賬號(hào)啊↓↓↓

不過(guò)，大家不不必過(guò)分擔(dān)憂， Felix Krause 在文中說(shuō)，

這種釣魚(yú)手法還只存在于概念之中。出于對(duì)用戶(hù)安全考慮，蘋(píng)果會(huì)對(duì)上架 App Store 第三方應(yīng)用進(jìn)行審核，只有在應(yīng)用程序被批準(zhǔn)之后才能運(yùn)行某些代碼。

蘋(píng)果會(huì)不會(huì)允許釣魚(yú) APP 的存在？

就在大家都以為這種事情暫時(shí)還沒(méi)有擔(dān)心的必要時(shí)，F(xiàn)elix Krause 在文中的 Q&A 環(huán)節(jié)對(duì)蘋(píng)果會(huì)不會(huì)允許這種釣魚(yú)APP存在的回應(yīng)，讓雷鋒網(wǎng)編輯看的又開(kāi)始心中一緊~

答案是肯定的。雖然App Store有很多的安全機(jī)制，但是有很多的辦法可以繞過(guò)，比如：

使用遠(yuǎn)程代碼， JS橋等；

用 iTunes search API 來(lái)比較現(xiàn)在的版本號(hào)和App Store中的版本號(hào)，這樣的話app可以在得到同意后，自動(dòng)執(zhí)行惡意代碼；

用遠(yuǎn)程配置工具來(lái)配置一個(gè)只有Apple通過(guò)后才執(zhí)行的特征；

使用基于時(shí)間的觸發(fā)器，只有當(dāng)app通過(guò)審核或拒絕后才執(zhí)行；

如何識(shí)別釣魚(yú)攻擊？

既然危險(xiǎn)處處都有，我們就要加強(qiáng)防備心，怎樣練就火眼金睛？Felix Krause給出了識(shí)別真假?gòu)椏虻慕ㄗh：

如果在應(yīng)用程序中出現(xiàn)了賬戶(hù)密碼彈窗，點(diǎn)擊手機(jī)“home”鍵返回主頁(yè)面，如果回到主頁(yè)面后彈窗也消失，那么這個(gè)窗口就是假的，這就是一次釣魚(yú)攻擊行為。

如果回到主頁(yè)面后，賬戶(hù)密碼彈窗依然存在，那么這就是系統(tǒng)自帶的彈窗，是真的。

這么做的原因在于，系統(tǒng)自帶的彈窗使用的進(jìn)程和應(yīng)用程序的進(jìn)程不同。

萬(wàn)一中招，如何善后？

如果有天你腦殼方掉，真的是不小心就輸入了自己的賬號(hào)和密碼怎么辦呢？

雷鋒網(wǎng)特地打電話問(wèn)了一下蘋(píng)果客服，得到如下答復(fù)↓↓↓

帶上你的發(fā)票，外包裝和三包卡（二選一），去找蘋(píng)果售后。

為避免出現(xiàn)賬號(hào)被盜的情況，應(yīng)立即開(kāi)啟雙重驗(yàn)證， ios9 以上的用戶(hù)都可以開(kāi)啟，即使對(duì)方拿到你的 ID 和密碼，他要修改密碼也得向你的蘋(píng)果設(shè)備發(fā)驗(yàn)證碼進(jìn)行再次確認(rèn)。

參考消息：https://krausefx.com/

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。