新经网我们购买苹果产品后,可能并不一定对苹果产品的一些功能的使用都了如指掌。如果我们此时不知道如何使用这些功能,产品的价值就会大大降低,所以我们必须知道这些功能的使用。所以今天边肖就给大家讲一些iPhone诈骗和新花样的具体案例,看到弹窗不要丢密码,让大家都知道iPhone诈骗和新花样。当您在iPhone上看到弹出窗口时,不要丢失密码。
相信大多数人都会立即在脑海中回忆起自己的AppleID账号和密码,然后填写相应的内容。但是仔细想想,怎么才能保证这个弹出窗口是真的被iOS系统调用,而不是被第三方开发者钓鱼呢?
澳大利亚开发商FelixKrause也想过这个问题。在他的博客文章中,他讨论了开发人员故意在自己的应用程序中设计钓鱼弹出窗口来窃取用户的苹果ID和密码的可能性。这个自行设计的弹出窗口可以和iOS账号密码输入的弹出窗口完全一样。
左侧iOS官方系统弹出;右侧钓鱼的弹出窗口
欺骗和揭露
那么,有没有可能通过这种钓鱼方法“光明正大”地盗取用户AppleID的账号和密码呢?答案是可能的。
首先,无论是哪一代的iOS系统,都给用户展示过这样的账号密码弹出窗口,比如升级iOS的时候,登录GameCenter的时候,支付应用内购买的费用等等。IOS用户自然养成了毫不犹豫地在这样的输入框中填写账号密码的习惯。因此,大多数用户可能会配合钓鱼弹出窗口盗取AppleID账号的密码。
此外,这类弹出窗口采用了iOS统一设计规范中的UIKit-UIAlertController。一直以来,苹果都鼓励开发者调用UIKit,让iOS应用在设计上看起来统一,而开发者只需要稍微修改UIAlertController的标题、消息和Action,就能实现真假难辨的钓鱼弹出窗口。这是一段非常简单的代码,只要每个开发人员都知道怎么写,那么问题就在于开发人员是否有做坏事的心思。
你想问开发者怎么知道我的AppleID邮箱,设计一个弹出窗口并不难。你以为没人知道你输入了什么,其实申请已经被悄悄记录了。
最后,苹果不会让这些应用通过上架审查吧?很难说。虽然苹果在检测第三方应用的安全性方面做了很多努力,但近两年来,苹果一直强调AppStore应用的审查时间大大缩短,这也意味着审查。
质量在一定程度上发生了变化。更糟糕的是,这类弹窗完全可以在应用通过AppStore审核后实现,绕开Apple的各种审核手段,例如使用远程代码、定时代码等(远程代码是被禁止使用的,但仍有通过审核的可能)。
如何防骗
那么,对用户而言,是否有一种有效的手段可以避免被这类以假乱真的钓鱼弹窗欺骗呢?答案也是肯定的。以下的方法都可以使用:
1.按一下Home键看看它会不会消失
如果一个Alert弹窗是系统实现的,那么按下Home键,它不会消失;而如果一个Alert弹窗是应用实现的,那么按下Home键,它会消失。下图的弹窗是在AppStore更新应用时触发的,可以看到按下AssistiveTouch中的Home键后,它并没有消失,而仍然显示在主屏幕上。
同样,不会消失的系统弹窗还有将电话号码用于iMessage和FaceTime时的弹窗、开启使用TouchID下载应用时的弹窗等。这是因为这些弹窗都是由iOS系统发出的,脱离于任何一个应用之外。
不过,按下Home键来辨别其它类型的钓鱼弹窗就不管用了,因为iOS上需要AppleID账号和密码的场景很多。比如在iOS11中第三方应用的内购,可能会需要输入密码,而这些窗口在按下Home键后是会消失的。
2.不输入或故意输入错误的账号和密码
如果是iOS系统要求你输入AppleID账号和密码,显然你必须输入正确的内容,才能使操作继续。而如果你输入了错误的内容或者干脆不输入也能继续,那么很有可能这是钓鱼弹窗。
3.不要在弹窗中输入账号和密码
尽量使用TouchID、FaceID等身份认证方式,而避免在弹窗中输入账号密码。如果一定要输入才能进行身份认证,可以在iOS系统的「设置」中进行,因为iOS系统官方的弹窗,就是从设置中调取用户的身份认证。
4.终极保护:双重认证
为你的AppleID开启双重认证后,当有应用或服务想要访问你的账号时,iOS除了要求你输入账号和密码之外,还会给你的「受信任设备」或「受信任电话号码」发送验证码,这三项完全正确,才能访问你的AppleID。因此,即使钓鱼弹窗获取了你的AppleID账号和密码,它们也无法得知验证码,在短时间内你的账户还是安全的。你可以尽快修改AppleID账号和密码,以防数据泄漏财产损失。
