※ 本文為 Knuckles 轉寄自 ptt.cc 更新時間: 2017-10-13 02:13:54
看板 iOS
作者 標題 [新聞] 小心假的Apple ID輸入視窗騙走你的帳密
時間 Wed Oct 11 18:50:45 2017
小心假的Apple ID輸入視窗騙走你的帳號密碼
https://www.ithome.com.tw/news/117347
小心假的Apple ID輸入視窗騙走你的帳號密碼 | iThome
![[圖]]()
開發人員指出透過維妙維肖的Apple ID密碼輸入視窗,可輕易的要求用戶輸入帳密資料,騙取使用者的Apple ID帳密,認為蘋果應設法限制網釣攻擊,以保障用戶的身份安全。 ...
![[圖]](https://d3jcp1umdd59vg.cloudfront.net/sites/default/files/field/image/phishing.jpg)
一名專門打造行動程式建置工具的開發人員Felix Krause在本周展示了如何藉由模擬蘋果
要求使用者輸入Apple ID的介面,誘導使用者交出Apple ID的帳號與密碼。
Krause以詼諧的口吻來描述此事:「你想要使用者Apple ID的密碼以存取他們的蘋果帳號
嗎?只要禮貌地問他們,他們很可能就會交出來。」
Krause解釋,iOS經常要求使用者輸入Apple ID的密碼,有時候是為了安裝iOS更新,有時
候是在安裝程式並卡住的時候,或者是在執行程式內購買時,因此,在每次跳出Apple ID
密碼輸入介面時,使用者已經習慣不假思索地輸入自己的密碼。
候是在安裝程式並卡住的時候,或者是在執行程式內購買時,因此,在每次跳出Apple ID
密碼輸入介面時,使用者已經習慣不假思索地輸入自己的密碼。
即使蘋果嚴格把關登上App Store的程式,但這些程式可能會在通過蘋果審核之後透過遠
端程式碼、遠端配置工具、 iTunes search API,或者是定時工具來注入偽造介面。
Krause示範了如何於iOS裝置上秀出假冒的Apple ID密碼輸入視窗,涵蓋有否要求使用者
電子郵件帳號的兩種視窗,顯示出它與官方視窗一模一樣,根本無法辨別真偽。
要模仿該介面非常地方便,因為蘋果提供了文件範例,而且Krause只用了不到30行程式就
寫出了介面,還說這對每個iOS工程師而言都很容易。
Krause建議蘋果應該要在密碼輸入視窗上明白標示這是來自系統要求或是行動程式的要求
,也覺得蘋果根本不應該經常要用戶輸入Apple ID密碼,若非輸入不可,最好是藉由設定
功能輸入,而非仰賴跳出視窗。
,也覺得蘋果根本不應該經常要用戶輸入Apple ID密碼,若非輸入不可,最好是藉由設定
功能輸入,而非仰賴跳出視窗。
-------
嚴謹的存取架構一旦成為習慣,也就變成一種致命的漏洞,輸入密碼前先確認目的,
才能避免成為裸照的受害者,你cc
--
推 : 雷姆教 雷姆教 雷姆幫你蕊懶叫08/22 00:40
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.107.225
※ 文章代碼(AID): #1PtVUAuQ (iOS)
※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1507719050.A.E1A.html
推 : krause也是有說辨識方法啦 如果你看到要輸入密碼的視窗1F 10/11 18:57
→ : 當下按home鍵 真的是內購的話還是會留在畫面上 但若是
→ : 假的就會一併隨app消失
→ : 當下按home鍵 真的是內購的話還是會留在畫面上 但若是
→ : 假的就會一併隨app消失
推 : 兩段驗證現在不是都強制開了嗎4F 10/11 18:59
推 : 推5F 10/11 19:39
→ : 有時候根本不知道為什麼就要叫你打密碼6F 10/11 20:04
推 : 謝謝一樓提供辨識法。7F 10/11 20:19
推 : iOS11 內購已經改變彈出的表現方法了吧8F 10/11 20:40
推 : 所以2階段驗證一定要開 不小心被騙走帳密還有救...9F 10/11 20:45
→ : 2階升iOS11後是強制開的樣子10F 10/11 20:46
推 : 果粉說的蘋果重視用戶資安呢?11F 10/11 20:46
推 : 釣魚網站你用安卓也是會被盜阿 樓上用點腦袋?這跟系統無12F 10/11 20:51
→ : 關了,帳號開啟兩階段驗證才是正解
→ : 關了,帳號開啟兩階段驗證才是正解
推 : 這跟系統無關,跟網站跳出你中毒的手法一樣14F 10/11 21:11
推 : 推一樓+兩階段驗證15F 10/11 21:12
推 : 某樓講的好像安卓很安全一樣 嘻嘻16F 10/11 21:41
推 : 我不會出事,因為每次都懶的打,然後都會選取消……17F 10/11 22:09
→ : 不只ios啊,古早以前網路釣魚騙帳號就是用這種手法。18F 10/11 22:23
→ : 一堆人被釣到帳號還不自覺,現在只是從電腦轉向手機而已。
→ : 一堆人被釣到帳號還不自覺,現在只是從電腦轉向手機而已。
噓 : 只要跟APPLE扯上關係 再老的梗都可以當新聞寫得嚇嚇叫20F 10/11 23:11
推 : 說個笑話,安卓安全21F 10/11 23:12
噓 : 殺光這些騙子就可以解決問題,偏偏不殺光騙子呢。22F 10/12 00:21
→ : 給我當上帝我就殺光世界上所有騙子喔,操。
→ : 給我當上帝我就殺光世界上所有騙子喔,操。
→ : 安卓不會一直跳出要你輸入密碼的視窗啊24F 10/12 10:30
→ : 蘋果要這樣設計不是不行但連防偽都沒做好根本呵呵
→ : 蘋果要這樣設計不是不行但連防偽都沒做好根本呵呵
推 : 感恩一樓、讚嘆一樓!26F 10/12 11:32
--
※ 看板: iOS 文章推薦值: 0 目前人氣: 0 累積人氣: 415
回列表(←)
分享