小心假的Apple ID輸入視窗騙走你的帳號密碼
https://www.ithome.com.tw/news/117347
一名專門打造行動程式建置工具的開發人員Felix Krause在本周展示了如何藉由模擬蘋果
要求使用者輸入Apple ID的介面,誘導使用者交出Apple ID的帳號與密碼。
Krause以詼諧的口吻來描述此事:「你想要使用者Apple ID的密碼以存取他們的蘋果帳號
嗎?只要禮貌地問他們,他們很可能就會交出來。」
Krause解釋,iOS經常要求使用者輸入Apple ID的密碼,有時候是為了安裝iOS更新,有時
候是在安裝程式並卡住的時候,或者是在執行程式內購買時,因此,在每次跳出Apple ID
密碼輸入介面時,使用者已經習慣不假思索地輸入自己的密碼。
即使蘋果嚴格把關登上App Store的程式,但這些程式可能會在通過蘋果審核之後透過遠
端程式碼、遠端配置工具、 iTunes search API,或者是定時工具來注入偽造介面。
Krause示範了如何於iOS裝置上秀出假冒的Apple ID密碼輸入視窗,涵蓋有否要求使用者
電子郵件帳號的兩種視窗,顯示出它與官方視窗一模一樣,根本無法辨別真偽。
要模仿該介面非常地方便,因為蘋果提供了文件範例,而且Krause只用了不到30行程式就
寫出了介面,還說這對每個iOS工程師而言都很容易。
Krause建議蘋果應該要在密碼輸入視窗上明白標示這是來自系統要求或是行動程式的要求
,也覺得蘋果根本不應該經常要用戶輸入Apple ID密碼,若非輸入不可,最好是藉由設定
功能輸入,而非仰賴跳出視窗。
作者:
obov (來噓蒼真)
2016-08-22 00:40:00雷姆教 雷姆教 雷姆幫你蕊懶叫
krause也是有說辨識方法啦 如果你看到要輸入密碼的視窗當下按home鍵 真的是內購的話還是會留在畫面上 但若是假的就會一併隨app消失
作者:
ishuen (小小宇)
2017-10-11 20:04:00有時候根本不知道為什麼就要叫你打密碼
作者:
wtmjs (金色狂風忍者隊)
2017-10-11 20:19:00謝謝一樓提供辨識法。
作者:
asteea (Asteea)
2017-10-11 20:40:00iOS11 內購已經改變彈出的表現方法了吧
作者:
mike7689 (帥啊~!老皮~!!)
2017-10-11 20:45:00所以2階段驗證一定要開 不小心被騙走帳密還有救...
作者:
asteea (Asteea)
2017-10-11 20:46:002階升iOS11後是強制開的樣子
作者:
a3619453 (哼哼哼哼哼哼)
2017-10-11 20:51:00釣魚網站你用安卓也是會被盜阿 樓上用點腦袋?這跟系統無關了,帳號開啟兩階段驗證才是正解
作者:
fiiox3 (飆速宅男)
2017-10-11 21:11:00這跟系統無關,跟網站跳出你中毒的手法一樣
作者:
abramtw (世界原來是如此耀眼啊)
2017-10-11 21:12:00推一樓+兩階段驗證
作者:
abelyi100 (abelyi100)
2017-10-11 22:09:00我不會出事,因為每次都懶的打,然後都會選取消……
作者:
miacp ( )
2017-10-11 22:23:00不只ios啊,古早以前網路釣魚騙帳號就是用這種手法。一堆人被釣到帳號還不自覺,現在只是從電腦轉向手機而已。
作者: WonderH2O 2017-10-11 23:11:00
只要跟APPLE扯上關係 再老的梗都可以當新聞寫得嚇嚇叫
殺光這些騙子就可以解決問題,偏偏不殺光騙子呢。給我當上帝我就殺光世界上所有騙子喔,操。
安卓不會一直跳出要你輸入密碼的視窗啊蘋果要這樣設計不是不行但連防偽都沒做好根本呵呵
作者: awaken (天下車行一般黑) 2017-10-12 11:32:00
感恩一樓、讚嘆一樓!