惡意的iOS應(yīng)用程序彈出窗口可能正在竊取你的蘋果ID

網(wǎng)絡(luò)罪犯有一種肯定的方法來竊取蘋果的身份憑證：只要求用戶提供他們。一個由軟件工程師和Fastlane創(chuàng)始人費利克斯·克勞斯使用的博客文章顯示，它的死很簡單，欺騙了那些要求蘋果ID密碼的iOS彈出窗口。更糟糕的是，Krause說，“我們已經(jīng)培訓(xùn)了在各種應(yīng)用中輸入各種原因密碼?！?/p>

普通用戶不會質(zhì)疑蘋果ID密碼請求的合法性，這使得欺騙成為一種非常危險的網(wǎng)絡(luò)釣魚形式。所有應(yīng)用程序都需要顯示一個uiAlertController彈出窗口--這個應(yīng)用程序的一個非常常見的部分。

Krause表示，他能夠?qū)⒓賹υ挻翱谔砑拥骄哂猩儆?0行代碼的應(yīng)用程序中，他說這些代碼是"實際上，在AppleDocs中提供的示例帶有自定義文本。"

當(dāng)出現(xiàn)提示時，添加到平均IOS用戶（包括自己所包含的）進(jìn)入密碼的心態(tài)，并且在您的手中有一個嚴(yán)重的問題。Krause相信自ios4或5的時間以來一直在使用。

請參閱：如何在網(wǎng)絡(luò)安全中建立成功的職業(yè)（免費PDF）（TechRepublic）

如果用戶不可能說出假話和合法對話窗口之間的差異，則IOS用戶仍然可以做一些保護(hù)自己的事情。

我知道無論何時應(yīng)用程序要求我輸入密碼，我都會從現(xiàn)在開始。

Krause指出，移動應(yīng)用程序內(nèi)部的網(wǎng)絡(luò)釣魚相對來說是新的，因此沒有很多保護(hù)措施來阻止它的發(fā)生。開發(fā)人員在他們的用戶中產(chǎn)生信任是很重要的，他說他們可以通過考慮兩件事情來做。

請參閱：完整IOS11開發(fā)人員課程（TechRepublic學(xué)院）

首先，您是否需要向用戶詢問您的應(yīng)用程序內(nèi)的密碼？您不一定需要，而是請他們打開“設(shè)置”應(yīng)用程序并在那里輸入。

其次，您的應(yīng)用程序不應(yīng)該不斷地向用戶詢問他們的憑據(jù)。了解問題的根源并修復(fù)它，而不是將責(zé)任轉(zhuǎn)移給用戶。

Krause還說，蘋果應(yīng)該添加一個功能，將應(yīng)用程序圖標(biāo)放在彈出窗口中，以便清除請求密碼的內(nèi)容。如果它的設(shè)置是合法的。如果還有別的事情應(yīng)該引起懷疑。

如果這個漏洞是在野外生存的，它是未知的，但無論如何，它應(yīng)該讓iOS用戶暫停。把密碼插入幼崽是我們每天做的事情，現(xiàn)在我們必須考慮他們的合法性。

在網(wǎng)絡(luò)擔(dān)保人不斷縮小的泡沫中，人們擔(dān)心的只是一件事。