实际上,并非iPhone上的每个弹出窗口都看起来像Apple的官方弹出窗口一样!昨天,开发人员Felix Krause发布了 概念证明 进行网络钓鱼攻击,他演示了应用程序开发人员如何滥用这些弹出窗口来获取用户的Apple ID和密码。要了解有关网络钓鱼攻击的更多信息,请查看我们的 威胁词汇.

您能看到这些弹出窗口的区别吗?

iPhone和iPad用户已经习惯了常见的Apple弹出窗口,要求他们登录iCloud的登录凭据或何时购买商品。即使用户不使用常规的App Store或iTunes,也会显示这些弹出窗口。

iOS用户注意添加证书的位置-网络钓鱼-后期

通过使用UIAlertController(用于定义显示在屏幕上的通知的元素),开发人员可以复制此类系统通知的设计,以请求您的登录数据。许多iOS用户不会注意到两者之间的微小差异,因此会被愚蠢地提供他们的登录凭据。

显示一个看起来像系统弹出窗口的对话框非常容易,不涉及任何魔术代码或秘密代码,这实际上是Apple文档中提供的带有自定义文本的示例。

我决定不开源实际的弹出代码,但是请注意,该代码少于30行,并且每个iOS工程师都可以快速构建自己的网络钓鱼代码。 —费利克斯·克劳斯(Felix Krause) krausfx.com

尽管某些系统通知要求开发人员知道单个用户的Apple ID,但有些则根本不知道。

iOS用户注意添加证书的位置-网络钓鱼-后期

Krause描述的网络钓鱼方法并不是一个新事物。 Apple为此对此进行了评论,但无法全部检测到。此外,并不是所有的iOS用户都知道在他们的iPhone或iPad上进行网络钓鱼攻击的可能性。

您可以保护自己免受此类网络钓鱼攻击

如您所见,您应该注意此类弹出对话框。如果您在使用应用程序时出现此类弹出窗口,则可以使用一种快速的方法来检查它是否是网络钓鱼攻击。关闭应用程序,如果弹出窗口消失,则该链接到该应用程序,并且可能是网络钓鱼攻击。如果弹出窗口没有消失,则应该是Apple常见的系统弹出窗口。当然,避免此类情况的另一种方法是仅在应用程序设置中添加登录凭据。

作为针对此类攻击的附加保护层,您应激活 两因素认证。启用此选项后,您可以防止攻击者使用ID登录您的Apple帐户。在使用双重身份验证的过程中,您会将代码接收到所选的(经过验证的)设备上,从而确保没有人会破坏您的Apple帐户。

如果您认为有人可以访问您的Apple帐户, 遵循本手册。您是否已经经历过这样的假弹出窗口?

资源: 阿维拉博客