当你的iPhone出现这样的弹窗时,你的第一反应会是什么?
很多人会下意识地输入自己Apple ID的密码,但是仔细想想,如何保证这个弹窗真的是iOS系统调用,而不是第三方开发者诱导输入密码呢?开发者有可能在自己的应用程序中设计感应式弹窗窃取用户的Apple ID和密码,从而使自行设计的弹窗显示与iOS官方弹窗一模一样。 (图1为iOS系统弹窗,图2为开发者设计的弹窗)
欺骗揭露
无论是哪一代的iOS系统,都曾向用户展示过这样的输入弹窗,比如系统升级、登录Game Center、内购等,很多用户已经下意识地相信并且会进入账号的习惯密码。因此,大部分用户可能会被此类诱导弹窗所骗,从而窃取Apple ID账号密码。
这类弹窗使用了iOS统一设计规范中的UIkit-UIAlertController。开发者只需要修改一段简单的代码就可以实现真假难辨的诱导弹窗。
虽然苹果在检测第三方应用的安全性方面下了不少功夫,但近两年来,苹果一直在强调大大缩短了App Store应用的审核时间,这也意味着审核质量发生了变化在某种程度上。更糟糕的是,这种弹窗可以在App通过Apple Store审核后实现,绕过Apple的各种审核方式,比如使用遥控码、定时码等。
如何防止被诱导输入密码
1.按Home键查看是否是系统弹窗。如果是系统弹窗,按Home键不会消失;如果是非系统弹窗,按Home键会返回主界面。下图弹窗是App Store更新应用时启动的。可以看到,当“Assistive Touch”中的Home键被按下时,它依然会出现,并没有消失。
可以通过Home键查看的弹窗除了App Store更新时的弹窗外,还有iMessage和FaceTime时的弹窗,以及touch ID时的弹窗开启下载应用等,这些弹窗是iOS系统弹出的,与任何应用分离。
2. 输入错误的密码。 iOS系统如果需要输入Apple ID帐号和密码,显然只有输入正确的内容才能正常操作,当输入错误的内容甚至无法继续内容时,那么很可能诱导一个弹出窗口。
3.不要弹窗输入账号密码。尽量使用Touch ID、Face ID等身份认证方式,避免在弹窗中直接输入账号密码。如果您必须输入密码才能进行操作,您可以通过系统“设置”进行,这样可以保证账号密码的安全。
4.终极保护:双重身份验证。开启双因素认证后,一旦某个应用或服务要访问你的账户,除了需要输入账号和密码外,苹果还会向“受信任的设备”或“受信任的手机”发送验证码number”(功能类似动态token),三项完全正确才能访问账号。因此,即使诱导弹窗获取了帐号和密码,他们也无从知晓验证码。账户短时间内安全,尽快修改账户密码,防止数据泄露和财产损失。
尤其是目前,账号对于个人的重要性不言而喻,不少不法分子盯上了Apple ID,窃取账号、窃取隐私数据,甚至敲诈勒索,给持有者造成巨大损失。因此,保护账户安全是每个用户都应该掌握的一项必备技能。