当你的 iPhone 出现这样的弹窗时,你的第一反应会是什么?
不少人都会下意识地输入自己 Apple ID 的密码,但仔细想想,如何确保这个弹窗真的是 iOS 系统调用而不是第三方开发者诱导输入密码的行为呢?开发者是存在在自己的应用中设计诱导弹窗盗取用户 Apple ID 和密码的可能性,这样自行设计的弹窗可以做到在显示上与 iOS 官方弹窗完全相同。(图一为 iOS 系统弹窗,图二为开发者自行设计的弹窗)
骗术揭秘
不管哪一代 iOS 系统,都曾向用户展示过这样的输入弹窗,比如在系统升级、 Game Center 登录、应用内付费购买时等。很多用户已经潜意识中相信并会输入账号密码的习惯,因此利用这样的诱导弹窗盗取 Apple ID 账号密码,多数用户可能都会中招。
这类弹窗采用的时 iOS 统一设计规范中的 UIkit-UIAlertController,开发者只需要稍作修改一段简单的代码,就可以实现真假难辨的诱导弹窗。
尽管苹果已经在检测第三方应用安全性上做了大量努力,但近两年苹果一直强调 App Store 应用审核时间大大缩短,这也意味着审核质量在一定程度上发生了变化。更为糟糕的是,这类弹窗完全可以在应用通过 Apple Store 审核后实现,绕开苹果的各种审核手段,例如使用远程代码,定时代码等。
如何防止被诱导输入密码
1.按下 Home 键可以检验是否为系统弹窗。如果是系统弹窗,按下 Home 键,并不会消失;而如果是非系统弹窗,按下 Home 键,则会返回主屏幕。下图弹窗是在 App Store 更新应用时出发的,可以看到,按下「辅助触控」中的 Home 键时,它仍然显示,并没有消失。
可以通过 Home 键检验的弹窗除了 App Store 更新时的弹窗、还包括 iMessage 和 FaceTime 时的弹窗、开启触控 ID 下载应用时的弹窗等。这些弹窗都是由 iOS 系统弹出,脱离任何一个应用以外。
2.输入错误密码。如果是 iOS 系统需要输入 Apple ID 账号和密码,显然输入正确内容才能使操作正常进行,而当输入错误内容甚至不输入内容也能够继续,那么很可能是诱导弹窗。
3.不要再弹窗在输入账号密码。尽量使用触控 ID、面容 ID 等身份认证方式,避免直接在弹窗中输入账号密码。如果一定要输入密码才能够进行的操作,可以通过系统「设置」中进行,可以保证账号密码的安全性。
4.终极保护:双重认证。开启双重认证后,一旦有应用或服务想要访问您的账号时,苹果除了要求输入账号和密码之外,还会给「受信任设备」或「受信任电话号码」发送验证码(功能类似于动态令牌),三项完全正确,才能访问账号。因此,即使诱导弹窗获取了账号和密码,他们也无从得知验证码,在短时间内账户是安全的,可以尽快修改账号密码,以防数据泄露,造成财产损失。
尤其是当下,一个账户对于个人的重要性不言而喻,而又有不少不法分子盯上了 Apple ID,盗取账号,窃取隐私数据,甚至敲诈勒索,给持有者造成巨大损失。所以保护账号安全,是每个用户都应该掌握的必备技巧。