惡意的iOS應(yīng)用程序彈出窗口可能正在竊取你的蘋果ID

網(wǎng)絡(luò)罪犯有一種肯定的方法來竊取蘋果的身份憑證：只要求用戶提供他們。一個(gè)由軟件工程師和Fastlane創(chuàng)始人費(fèi)利克斯·克勞斯使用的博客文章顯示，它的死很簡(jiǎn)單，欺騙了那些要求蘋果ID密碼的iOS彈出窗口。更糟糕的是，Krause說，“我們已經(jīng)培訓(xùn)了在各種應(yīng)用中輸入各種原因密碼?！?/p>

普通用戶不會(huì)質(zhì)疑蘋果ID密碼請(qǐng)求的合法性，這使得欺騙成為一種非常危險(xiǎn)的網(wǎng)絡(luò)釣魚形式。所有應(yīng)用程序都需要顯示一個(gè)uiAlertController彈出窗口--這個(gè)應(yīng)用程序的一個(gè)非常常見的部分。

Krause表示，他能夠?qū)⒓賹?duì)話窗口添加到具有少于30行代碼的應(yīng)用程序中，他說這些代碼是"實(shí)際上，在AppleDocs中提供的示例帶有自定義文本。"

當(dāng)出現(xiàn)提示時(shí)，添加到平均IOS用戶（包括自己所包含的）進(jìn)入密碼的心態(tài)，并且在您的手中有一個(gè)嚴(yán)重的問題。Krause相信自ios4或5的時(shí)間以來一直在使用。

請(qǐng)參閱：如何在網(wǎng)絡(luò)安全中建立成功的職業(yè)（免費(fèi)PDF）（TechRepublic）

如果用戶不可能說出假話和合法對(duì)話窗口之間的差異，則IOS用戶仍然可以做一些保護(hù)自己的事情。

我知道無論何時(shí)應(yīng)用程序要求我輸入密碼，我都會(huì)從現(xiàn)在開始。

Krause指出，移動(dòng)應(yīng)用程序內(nèi)部的網(wǎng)絡(luò)釣魚相對(duì)來說是新的，因此沒有很多保護(hù)措施來阻止它的發(fā)生。開發(fā)人員在他們的用戶中產(chǎn)生信任是很重要的，他說他們可以通過考慮兩件事情來做。

請(qǐng)參閱：完整IOS11開發(fā)人員課程（TechRepublic學(xué)院）

首先，您是否需要向用戶詢問您的應(yīng)用程序內(nèi)的密碼？您不一定需要，而是請(qǐng)他們打開“設(shè)置”應(yīng)用程序并在那里輸入。

其次，您的應(yīng)用程序不應(yīng)該不斷地向用戶詢問他們的憑據(jù)。了解問題的根源并修復(fù)它，而不是將責(zé)任轉(zhuǎn)移給用戶。

Krause還說，蘋果應(yīng)該添加一個(gè)功能，將應(yīng)用程序圖標(biāo)放在彈出窗口中，以便清除請(qǐng)求密碼的內(nèi)容。如果它的設(shè)置是合法的。如果還有別的事情應(yīng)該引起懷疑。

如果這個(gè)漏洞是在野外生存的，它是未知的，但無論如何，它應(yīng)該讓iOS用戶暫停。把密碼插入幼崽是我們每天做的事情，現(xiàn)在我們必須考慮他們的合法性。

在網(wǎng)絡(luò)擔(dān)保人不斷縮小的泡沫中，人們擔(dān)心的只是一件事。