iPhone詐騙又出新招 如何防范iPhone新型詐騙手段
騙術(shù)***
那么,通過這種釣魚手段來「光明正大」地盜取用戶 Apple ID 的賬號與密碼,是否能夠?qū)崿F(xiàn)呢?答案是有可能的。
首先,不管是哪一代 iOS 系統(tǒng),都曾向用戶展示過這樣的賬號密碼彈窗,比如在 iOS 升級時、Game Center 登錄時、應(yīng)用內(nèi)付費購買時等等。iOS 用戶已經(jīng)理所當然地養(yǎng)成了毫不猶疑在這樣的輸入框中填寫賬號密碼的習慣。因此利用釣魚彈窗來盜取 Apple ID 賬號密碼,大多數(shù)用戶可能都會乖乖配合。
此外,這類彈窗采用的是 iOS 統(tǒng)一設(shè)計規(guī)范中的 UIKit - UIAlertController。一直以來,Apple 都鼓勵開發(fā)者調(diào)用 UIKit 來使 iOS 應(yīng)用看起來有統(tǒng)一的設(shè)計,而開發(fā)者只需要將 UIAlertController 的 title、message 和 Action 稍作修改,就能實現(xiàn)真假難辨的釣魚彈窗。這是一段非常簡單的代碼,只要是位開發(fā)者都知道怎么寫,所以問題就在于開發(fā)者有沒有做壞事的心思。
你想問開發(fā)者怎么會知道我的 Apple ID 郵箱呢,再設(shè)計一個彈窗也不是什么難事。你以為你輸入的內(nèi)容無人知曉,實際上應(yīng)用已經(jīng)悄悄記錄了下來。
最后,Apple 不會讓這些應(yīng)用通過上架審核的吧?這很難說,盡管 Apple 在檢測第三方應(yīng)用安全性方面做了很多努力,但是近兩年 Apple 一直在強調(diào) App Store 應(yīng)用審核時間大大縮短,這也意味著審核質(zhì)量在一定程度上發(fā)生了變化。
更糟糕的是,這類彈窗完全可以在應(yīng)用通過 App Store審核后實現(xiàn),繞開 Apple 的各種審核手段,例如使用遠程代碼、定時代碼等(遠程代碼是被禁止使用的,但仍有通過審核的可能)。