日前,一名叫Felix Krause的国外开发者今天公布了一种钓鱼攻击的新方式,展示了App开发者如何使用苹果官方样式的弹窗骗取用户的Apple ID和密码。
容易模仿的弹出框
iPhone和iPad用户已经习惯了苹果官方弹窗,之后在其中输入Apple ID和密码,这种弹窗不一定会出现在App Store或iTunes应用程序中。采用UIAlertController模拟系统密码请求弹窗的设计样式,第三方App开发者可以创建一个完全相同的弹窗用作钓鱼工具,可能很多人会上当。
这只是一次实验室内尝试,目前并没有此类问题发生的报告,Krause已经向苹果公司报告了这一问题,并建议将苹果公司要求用户在设置中输入他们的凭证,而不是直接通过一个可以很容易模仿的弹出框,或者弹出框上显示个App图标,以表明应用程序在要求密码而不是来自系统。
对此,Krause说:
它(弹出窗口)代码少于30行,而且每个IOS工程师都能够快速构建自己的钓鱼代码。然而,我决定不开源弹出代码。
一些系统提示需要开发者提前获取用户的Apple ID(即电子邮件),但也有一些弹窗不需要电子邮件,可以直接要求用户提供密码。
