IT動(dòng)態(tài)：這方法能輕松弄到你的Apple ID密碼我們?cè)敿?xì)說(shuō)

5G已經(jīng)片區(qū)使用，很多小伙伴對(duì)通信這塊還不熟系！越來(lái)越多的人開(kāi)始對(duì)IT、5G信息方面產(chǎn)生興趣，近來(lái)這方法能輕松弄到你的Apple ID密碼我們?cè)敿?xì)說(shuō)的話(huà)題也是引起了很多人的關(guān)注，那么既然現(xiàn)在大家都想要知道這方法能輕松弄到你的Apple ID密碼我們?cè)敿?xì)說(shuō)，小編今天就來(lái)給大家針對(duì)這方法能輕松弄到你的Apple ID密碼我們?cè)敿?xì)說(shuō)做個(gè)詳細(xì)介紹。

現(xiàn)在每個(gè)人都比過(guò)去更加地關(guān)心自己的手機(jī)安全，因?yàn)槲覀兩钪约旱拇罅啃畔⒍家呀?jīng)捆綁在這個(gè)平臺(tái)上，泄露的后果非常嚴(yán)重。但是一方面大多數(shù)人的防范知識(shí)和意識(shí)有限，另一方面我們使用手機(jī)太頻繁，總有疏漏的時(shí)候。這時(shí)，懷有惡意的人就有了可乘之機(jī)。

一位資深開(kāi)發(fā)者Felix Krause日前公開(kāi)了一個(gè)iOS系統(tǒng)中可以被人利用的安全漏洞。通過(guò)這個(gè)安全隱患，不法者就可以拿到用戶(hù)的Apple ID密碼。很關(guān)鍵的一點(diǎn)是，這種盜號(hào)的手段非常簡(jiǎn)單，而且一旦有人使用，用戶(hù)中招的可能性非常大。所以無(wú)論是我們自己還是蘋(píng)果，都得重視這個(gè)問(wèn)題。

這本質(zhì)上是一種釣魚(yú)攻擊——如果你在使用某個(gè)應(yīng)用的時(shí)候，發(fā)現(xiàn)突然出現(xiàn)一個(gè)彈窗，讓你輸入密碼登錄進(jìn)iTunes Store里，那就要小心了，因?yàn)檫@很可能就是在套你的密碼。一旦輸入進(jìn)去，你的Apple ID密碼就會(huì)被人知曉。

實(shí)現(xiàn)的辦法非常簡(jiǎn)單，任何一個(gè)開(kāi)發(fā)了惡意軟件的開(kāi)發(fā)者，都可以在代碼中使用UIAlertController框架，讓一個(gè)彈窗出現(xiàn)，上面寫(xiě)著和iOS系統(tǒng)要求你登錄iTunes Store時(shí)一模一樣的內(nèi)容。只要你朝著輸入欄里輸入自己的密碼，這個(gè)內(nèi)容就能被發(fā)送到開(kāi)發(fā)者那里。這一切只需要不到30行代碼，只是利用了人們的心理弱點(diǎn)而已，任何一個(gè)稍有經(jīng)驗(yàn)的iOS開(kāi)發(fā)者都能夠很快做出自己的釣魚(yú)攻擊機(jī)制來(lái)。

問(wèn)題就在于，iOS的系統(tǒng)提醒彈窗和應(yīng)用的提醒彈窗在界面外觀上是毫無(wú)區(qū)別的，所以只要一字一句地模仿系統(tǒng)通知的口吻，攻擊者就能偽裝成系統(tǒng)提醒，騙取用戶(hù)的信任。

需要注意的是，這種攻擊手段目前還沒(méi)有被人利用，它是Felix Krause這位開(kāi)發(fā)者發(fā)現(xiàn)，并提前公之于眾，希望人們和蘋(píng)果都重視起來(lái)的。所以我們倒也不需要恐慌，從現(xiàn)在開(kāi)始防范就好了。

它為何能騙到人？

▲右邊是偽造的系統(tǒng)通知，可以看到和左邊相比完全沒(méi)有區(qū)別

這種騙術(shù)能夠騙到人嗎？Felix Krause認(rèn)為可能性是存在的，而且一旦出現(xiàn)幾率會(huì)很大。某種程度上，這和iOS的機(jī)制以及人之常情有關(guān)系。

iOS系統(tǒng)經(jīng)常會(huì)要求用戶(hù)輸入Apple ID的密碼，比如系統(tǒng)更新，應(yīng)用安裝過(guò)程中卡住，當(dāng)然還有應(yīng)用下載，內(nèi)購(gòu)等等。這些提示會(huì)出現(xiàn)得比較頻繁，我們也已經(jīng)習(xí)慣了這種節(jié)奏。出于對(duì)iOS和蘋(píng)果的信任，再加上頻繁要求輸入密碼畢竟也是安全性上的考慮，很多時(shí)候，我們會(huì)毫不猶豫地將密碼打進(jìn)去。

如果在使用惡意應(yīng)用時(shí)出現(xiàn)這樣的提示框，我們很容易就會(huì)認(rèn)為，接下來(lái)的操作可能會(huì)涉及到安全因素，需要自己打密碼來(lái)進(jìn)行授權(quán)。畢竟如果不輸入的話(huà)，有些功能就不可用了，那當(dāng)然就照著做了。再加上上文所說(shuō)的，這種提示框的樣子和真正的系統(tǒng)通知沒(méi)有任何區(qū)別，欺騙性就非常高了。

還有一點(diǎn)就是，現(xiàn)在需要進(jìn)行安全驗(yàn)證的地方實(shí)在是太多了，雖然這是為了保護(hù)隱私考慮，但也很容易讓人們放松警惕。畢竟，同一件事情做得太多了，下次再讓我們?nèi)プ龅臅r(shí)候，很可能根本就不會(huì)過(guò)腦再去想想了。為了方便記憶，我們很多時(shí)候多個(gè)服務(wù)使用的密碼都是同一個(gè)。這種高度的重復(fù)性，更加縮短了我們的思考過(guò)程。

所以一旦密碼通過(guò)這種方式泄露，也就更危險(xiǎn)，因?yàn)檫@樣一來(lái)攻擊者就可以憑借這個(gè)線(xiàn)索，用相同的密碼試其他的服務(wù)。一般來(lái)說(shuō)，這基本都能一抓一個(gè)準(zhǔn)。所以到最后，我們丟的可能不僅僅是Apple ID了。

我們所需要做的

那么我們應(yīng)該如何來(lái)防范呢？其實(shí)辦法倒也沒(méi)有那么復(fù)雜。最簡(jiǎn)單也是最有效的做法，就是只下載那些知名的、可靠的、普遍評(píng)價(jià)好的應(yīng)用，而不去輕易嘗試來(lái)源可疑的那些應(yīng)用。這種攻擊必須依托應(yīng)用本身，攻擊者無(wú)法遠(yuǎn)程給你推送提示彈窗。如果你一直堅(jiān)持使用可靠的應(yīng)用，那就很難得碰上這種釣魚(yú)攻擊了。

如果真的在使用應(yīng)用的過(guò)程中碰到了突然的要求輸入密碼的彈窗，而自己又非常不確定這是不是陷阱的時(shí)候呢？Krause推薦我們按下Home鍵。按下去后如果沒(méi)有退回主界面，而且提示框還在，那這就是真的系統(tǒng)通知，因?yàn)橄到y(tǒng)通知運(yùn)行的是另一個(gè)不同的進(jìn)程。反之，那就是釣魚(yú)攻擊。

還有一種辦法，就是隨便輸入一些和密碼完全無(wú)關(guān)的字符。如果說(shuō)即使這樣，應(yīng)用還是顯示登錄成功，那么這很明顯就是騙人的了。

所以說(shuō)一千道一萬(wàn)，最關(guān)鍵的還是自己平時(shí)用手機(jī)的時(shí)候得多留一個(gè)心眼，增加防范的意識(shí)。當(dāng)然了，要求所有人都去了解這些，時(shí)時(shí)刻刻繃緊神經(jīng)肯定不現(xiàn)實(shí)。所以，蘋(píng)果同樣有責(zé)任要解決這個(gè)問(wèn)題。

蘋(píng)果所需要做的

蘋(píng)果所應(yīng)該做的事情，最簡(jiǎn)單最笨的方案就是取消彈窗輸入密碼機(jī)制，自動(dòng)打開(kāi)或讓用戶(hù)自己去設(shè)置里完成登錄。這是一種辦法，但是會(huì)比較影響體驗(yàn)，畢竟多了些步驟，久而久之還是會(huì)讓人覺(jué)得麻煩。

如果要從更加本質(zhì)上去解決問(wèn)題，那就得將系統(tǒng)彈窗和應(yīng)用彈窗從界面外觀上區(qū)分開(kāi)來(lái)。至少，來(lái)自應(yīng)用的彈窗也應(yīng)該在顯眼出有該應(yīng)用的圖標(biāo)。這樣人們才能夠分得清，究竟哪些才是安全的、來(lái)自系統(tǒng)的應(yīng)用。

另外，蘋(píng)果可以考慮優(yōu)化Apple ID密碼驗(yàn)證機(jī)制，讓用戶(hù)不再需要頻繁去輸入密碼確認(rèn)。這樣，某種程度上也能讓人們?cè)陬?lèi)似的事件發(fā)生時(shí)，能更謹(jǐn)慎地去觀察，而不是習(xí)慣成自然地全盤(pán)照做。

總的來(lái)說(shuō)蘋(píng)果在應(yīng)用上架審核上還是很到位的，但在審核通過(guò)后再去加入這些惡意代碼的辦法不是沒(méi)有，所以我們還是得小心防范。平時(shí)使用應(yīng)用的時(shí)候多注意，等待蘋(píng)果在今后的版本里想辦法解決問(wèn)題。