10502017-10-11 13:52:12

这办法能轻松弄到你的密码?我们详细说

  1. 新的隐患


      现在每个人都比过去更加地关心自己的手机安全,因为我们深知自己的大量信息都已经捆绑在这个平台上,泄露的后果非常严重。但是一方面大多数人的防范知识和意识有限,另一方面我们使用手机太频繁,总有疏漏的时候。这时,怀有恶意的人就有了可乘之机。

      一位资深开发者 Felix Krause 日前公开了一个 iOS 系统中可以被人利用的安全漏洞。通过这个安全隐患,不法者就可以拿到用户的 Apple ID 密码。很关键的一点是,这种盗号的手段非常简单,而且一旦有人使用,用户中招的可能性非常大。所以无论是我们自己还是苹果,都得重视这个问题。

      这本质上是一种钓鱼攻击 —— 如果你在使用某个应用的时候,发现突然出现一个弹窗,让你输入密码登录进 iTunes Store 里,那就要小心了,因为这很可能就是在套你的密码。一旦输入进去,你的 Apple ID 密码就会被人知晓。

      实现的办法非常简单,任何一个开发了恶意软件的开发者,都可以在代码中使用 UIAlertController 框架,让一个弹窗出现,上面写着和 iOS 系统要求你登录 iTunes Store 时一模一样的内容。只要你朝着输入栏里输入自己的密码,这个内容就能被发送到开发者那里。这一切只需要不到 30 行代码,只是利用了人们的心理弱点而已,任何一个稍有经验的 iOS 开发者都能够很快做出自己的钓鱼攻击机制来。

      问题就在于,iOS 的系统提醒弹窗和应用的提醒弹窗在界面外观上是毫无区别的,所以只要一字一句地模仿系统通知的口吻,攻击者就能伪装成系统提醒,骗取用户的信任。

      需要注意的是,这种攻击手段目前还没有被人利用,它是 Felix Krause 这位开发者发现,并提前公之于众,希望人们和苹果都重视起来的。所以我们倒也不需要恐慌,从现在开始防范就好了。
  2. 它为何能骗到人?

    右边是伪造的系统通知,可以看到和左边相比完全没有区别
      这种骗术能够骗到人吗?Felix Krause 认为可能性是存在的,而且一旦出现几率会很大。某种程度上,这和 iOS 的机制以及人之常情有关系。

      iOS 系统经常会要求用户输入 Apple ID 的密码,比如系统更新,应用安装过程中卡住,当然还有应用下载,内购等等。这些提示会出现得比较频繁,我们也已经习惯了这种节奏。出于对 iOS 和苹果的信任,再加上频繁要求输入密码毕竟也是安全性上的考虑,很多时候,我们会毫不犹豫地将密码打进去。

      如果在使用恶意应用时出现这样的提示框,我们很容易就会认为,接下来的操作可能会涉及到安全因素,需要自己打密码来进行授权。毕竟如果不输入的话,有些功能就不可用了,那当然就照着做了。再加上上文所说的,这种提示框的样子和真正的系统通知没有任何区别,欺骗性就非常高了。

      还有一点就是,现在需要进行安全验证的地方实在是太多了,虽然这是为了保护隐私考虑,但也很容易让人们放松警惕。毕竟,同一件事情做得太多了,下次再让我们去做的时候,很可能根本就不会过脑再去想想了。为了方便记忆,我们很多时候多个服务使用的密码都是同一个。这种高度的重复性,更加缩短了我们的思考过程。

      所以一旦密码通过这种方式泄露,也就更危险,因为这样一来攻击者就可以凭借这个线索,用相同的密码试其他的服务。一般来说,这基本都能一抓一个准。所以到最后,我们丢的可能不仅仅是 Apple ID 了。
  3. 我们所需要做的


      那么我们应该如何来防范呢?其实办法倒也没有那么复杂。最简单也是最有效的做法,就是只下载那些知名的、可靠的、普遍评价好的应用,而不去轻易尝试来源可疑的那些应用。这种攻击必须依托应用本身,攻击者无法远程给你推送提示弹窗。如果你一直坚持使用可靠的应用,那就很难得碰上这种钓鱼攻击了。

      如果真的在使用应用的过程中碰到了突然的要求输入密码的弹窗,而自己又非常不确定这是不是陷阱的时候呢?Krause 推荐我们按下 Home 键。按下去后如果没有退回主界面,而且提示框还在,那这就是真的系统通知,因为系统通知运行的另一个不同的进程。反之,那就是钓鱼攻击。

      还有一种办法,就是随便输入一些和密码完全无关的字符。如果说即使这样,应用还是显示登录成功,那么这很明显就是骗人的了。

      所以说一千道一万,最关键的还是自己平时用手机的时候得多留一个心眼,增加防范的意识。当然了,要求所有人都去了解这些,时时刻刻绷紧神经肯定不现实。所以,苹果同样有责任要解决这个问题。
  4. 苹果所需要做的

      苹果所应该做的事情,最简单最笨的方案就是取消弹窗输入密码机制,自动打开或让用户自己去设置里完成登录。这是一种办法,但是会比较影响体验,毕竟多了些步骤,久而久之还是会让人觉得麻烦。

      如果要从更加本质上去解决问题,那就得将系统弹窗和应用弹窗从界面外观上区分开来。至少,来自应用的弹窗也应该在显眼出有该应用的图标。这样人们才能够分得清,究竟哪些才是安全的、来自系统的应用。

      另外,苹果可以考虑优化 Apple ID 密码验证机制,让用户不再需要频繁去输入密码确认。这样,某种程度上也能让人们在类似的事件发生时,能更谨慎地去观察,而不是习惯成自然地全盘照做。

      总的来说苹果在应用上架审核上还是很到位的,但在审核通过后再去加入这些恶意代码的办法不是没有,所以我们还是得小心防范。平时使用应用的时候多注意,等待苹果在今后的版本里想办法解决问题。

    相关文章

  1. 真的是性能怪兽!NASA专家细品iMac Pro
  2. 苹果发布iOS 11.2.1更新 主要是漏洞修复
  3. 法院已驳回美国对苹果税务案的支持请求
  4. 苹果仍然致力于全新 Mac Pro 的升级设计
  5. iTunes跳票 今年不会登陆Windows Store

    延伸阅读

  1. 回顾过去 新的App Store其实是回归了初心
  2. iOS 11来了!带你一览这全新的App Store
  3. 完全看不过来!苹果秋季发布会亮点大汇总
  4. 苹果真正的想法:Siri如何由机器成为人
  5. 苹果的脸部革命:iPhone 8让你自拍拍出花来
锋友跟帖
人参与
人跟帖
现在还没有评论,请发表第一个评论吧!
正在加载评论
  1. 威锋客户端
  2. 用微博扫我
返回顶部
关闭

u优乐国际娱乐

百度360搜索搜狗搜索