您的位置: 首頁(yè) >科技 >

駭客可以透過(guò)這個(gè)方法取得 Apple ID 密碼且使用者幾乎分辨不出真?zhèn)?/h1>
2022-07-15 19:15:13 編輯:苗韻罡 來(lái)源:
導(dǎo)讀 iOS 的封閉式架構(gòu)不大容易中毒,相信這是大家普遍的認(rèn)知,即使 iPhone 有相較之下少很多的漏洞,但一不小心,還是會(huì)被駭客精心設(shè)計(jì)的圈...

iOS 的封閉式架構(gòu)不大容易中毒,相信這是大家普遍的認(rèn)知,即使 iPhone 有相較之下少很多的漏洞,但一不小心,還是會(huì)被駭客精心設(shè)計(jì)的圈套給騙了。今天要跟大家介紹的這個(gè)安全漏洞就是如此,原理很簡(jiǎn)單,但又難以辨別,如果真碰上了相信 90% 以上的用戶(hù)都會(huì)被盜走帳號(hào)密碼,不得不謹(jǐn)慎提防。

一位資深開(kāi)發(fā)者 Felix Krause 前些日子公布了一個(gè) iOS 漏洞,當(dāng)你在使用某個(gè) App 的時(shí)候,會(huì)突然跳出一個(gè)視窗,要你輸入密碼登入 iTunes。但這個(gè)視窗是個(gè)「釣魚(yú)」訊息,一但輸入密碼后,就會(huì)被駭客擷取。

什么是「釣魚(yú)」?

「釣魚(yú)」與「入侵系統(tǒng)」本質(zhì)上不大相同,所謂「釣魚(yú)」是透過(guò)假造的網(wǎng)頁(yè)(Facebook、Google登入頁(yè)面等等),讓使用者誤以為是官方的網(wǎng)站而輸入帳號(hào)密碼,類(lèi)似的做法也常見(jiàn)于偽造的釣魚(yú)信件等等。一些比較粗製濫造的釣魚(yú)網(wǎng)頁(yè)從外觀上就看得出來(lái),更謹(jǐn)慎的使用者只要仔細(xì)檢查網(wǎng)址,也可以發(fā)現(xiàn)并非原本的官方網(wǎng)站。

但,這次 Felix Krause 公布的漏洞真實(shí)性更大,更容易誘人上當(dāng),而且?guī)缀醴直娌怀霾顒e。

出現(xiàn)了更加逼真的釣魚(yú)訊息

這個(gè)漏洞的方式非常簡(jiǎn)單,只要是 App 開(kāi)發(fā)者,都可以在原始碼中使用「UIAlertController」框架并跳出一個(gè)視窗,這是蘋(píng)果給開(kāi)發(fā)者使用的正當(dāng)工具。然而,只要駭客們?cè)谝暣吧蠈?xiě)上跟 iOS 系統(tǒng)訊息一模一樣的文字,使用者根本分不出差別:

▲ 上方左圖是正常的系統(tǒng)訊息,右圖是開(kāi)發(fā)者偽造的視窗,根本分不出差別。

由于蘋(píng)果給開(kāi)發(fā)者自訂視窗內(nèi)訊息的權(quán)限,而外觀又跟系統(tǒng)訊息毫無(wú)區(qū)別,因此只要駭客一字一句地模仿系統(tǒng)訊息,一般使用者就分辨不出差異。一但輸入密碼,訊息就可以立刻被駭客得知。

幸好,這個(gè)手段目前還沒(méi)有發(fā)現(xiàn)被駭客使用的案例。Felix Krause 即時(shí)發(fā)現(xiàn)并公布了這個(gè)釣魚(yú)方式,期望人們和蘋(píng)果能正視這個(gè)問(wèn)題并盡快作出改善。

如何防範(fàn)這類(lèi)釣魚(yú)訊息?

要如何分辨這個(gè)訊息是真的系統(tǒng)通知,還是駭客仿造的呢?其實(shí)有個(gè)簡(jiǎn)單的方法。

由于 iOS 系統(tǒng)限制的關(guān)係,由開(kāi)發(fā)者製作的彈跳通知只能出現(xiàn)在 App 里。因此當(dāng)你看到這類(lèi)訊息,又無(wú)法確定是否是偽造的,只要按下 HOME 鍵,看看這個(gè)訊息視窗會(huì)不會(huì)跟著消失就好。若視窗跟著 App 一起消失,那就是假的;若按下 HOME 鍵后視窗還在,就是真的系統(tǒng)通知。

當(dāng)然,更安全的做法是「只下載可靠的 App」,不要去 App Store 下載來(lái)路不明的第三方工具,要用 Gmail 就用 Google 自己推出的 App,要用 Facebook 就用官方的產(chǎn)品。在下載小工具、游戲等等軟體也盡量選擇可靠的大廠(chǎng)發(fā)行的作品。

蘋(píng)果也有義務(wù)改善

當(dāng)然,「彈跳視窗」是蘋(píng)果給開(kāi)發(fā)者的工具,可以用于顯示重要的訊息,這點(diǎn)是沒(méi)有問(wèn)題的。但蘋(píng)果應(yīng)該要在之后的更新中修復(fù)這次漏洞,至少讓視窗的外觀與系統(tǒng)通知不同,好讓使用者作出區(qū)別。

雖然蘋(píng)果在 App 上架的審核工作上做得還算嚴(yán)謹(jǐn),但畢竟是人工審核,難免會(huì)有漏網(wǎng)之魚(yú)。因此呼吁蘋(píng)果要在界面上作出調(diào)整,或是限制開(kāi)發(fā)者在調(diào)跳視窗上輸入訊息的權(quán)限。

在那之前,大家還是養(yǎng)成良好的使用習(xí)慣,就不用擔(dān)心駭客的釣魚(yú)訊息了。


免責(zé)聲明:本文由用戶(hù)上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。