今日话题
10502017-10-11 13:52:12

这办法能轻松弄到你的密码?我们详细说

  1. 新的隐患


      现在每个人都比过去更加地关心自己的手机安全,因为我们深知自己的大量信息都已经捆绑在这个平台上,泄露的后果非常严重。但是一方面大多数人的防范知识和意识有限,另一方面我们使用手机太频繁,总有疏漏的时候。这时,怀有恶意的人就有了可乘之机。

      一位资深开发者 Felix Krause 日前公开了一个 iOS 系统中可以被人利用的安全漏洞。通过这个安全隐患,不法者就可以拿到用户的 Apple ID 密码。很关键的一点是,这种盗号的手段非常简单,而且一旦有人使用,用户中招的可能性非常大。所以无论是我们自己还是苹果,都得重视这个问题。

      这本质上是一种钓鱼攻击 —— 如果你在使用某个应用的时候,发现突然出现一个弹窗,让你输入密码登录进 iTunes Store 里,那就要小心了,因为这很可能就是在套你的密码。一旦输入进去,你的 Apple ID 密码就会被人知晓。

      实现的办法非常简单,任何一个开发了恶意软件的开发者,都可以在代码中使用 UIAlertController 框架,让一个弹窗出现,上面写着和 iOS 系统要求你登录 iTunes Store 时一模一样的内容。只要你朝着输入栏里输入自己的密码,这个内容就能被发送到开发者那里。这一切只需要不到 30 行代码,只是利用了人们的心理弱点而已,任何一个稍有经验的 iOS 开发者都能够很快做出自己的钓鱼攻击机制来。

      问题就在于,iOS 的系统提醒弹窗和应用的提醒弹窗在界面外观上是毫无区别的,所以只要一字一句地模仿系统通知的口吻,攻击者就能伪装成系统提醒,骗取用户的信任。

      需要注意的是,这种攻击手段目前还没有被人利用,它是 Felix Krause 这位开发者发现,并提前公之于众,希望人们和苹果都重视起来的。所以我们倒也不需要恐慌,从现在开始防范就好了。
  2. 它为何能骗到人?

    右边是伪造的系统通知,可以看到和左边相比完全没有区别
      这种骗术能够骗到人吗?Felix Krause 认为可能性是存在的,而且一旦出现几率会很大。某种程度上,这和 iOS 的机制以及人之常情有关系。

      iOS 系统经常会要求用户输入 Apple ID 的密码,比如系统更新,应用安装过程中卡住,当然还有应用下载,内购等等。这些提示会出现得比较频繁,我们也已经习惯了这种节奏。出于对 iOS 和苹果的信任,再加上频繁要求输入密码毕竟也是安全性上的考虑,很多时候,我们会毫不犹豫地将密码打进去。

      如果在使用恶意应用时出现这样的提示框,我们很容易就会认为,接下来的操作可能会涉及到安全因素,需要自己打密码来进行授权。毕竟如果不输入的话,有些功能就不可用了,那当然就照着做了。再加上上文所说的,这种提示框的样子和真正的系统通知没有任何区别,欺骗性就非常高了。

      还有一点就是,现在需要进行安全验证的地方实在是太多了,虽然这是为了保护隐私考虑,但也很容易让人们放松警惕。毕竟,同一件事情做得太多了,下次再让我们去做的时候,很可能根本就不会过脑再去想想了。为了方便记忆,我们很多时候多个服务使用的密码都是同一个。这种高度的重复性,更加缩短了我们的思考过程。

      所以一旦密码通过这种方式泄露,也就更危险,因为这样一来攻击者就可以凭借这个线索,用相同的密码试其他的服务。一般来说,这基本都能一抓一个准。所以到最后,我们丢的可能不仅仅是 Apple ID 了。
  3. 我们所需要做的


      那么我们应该如何来防范呢?其实办法倒也没有那么复杂。最简单也是最有效的做法,就是只下载那些知名的、可靠的、普遍评价好的应用,而不去轻易尝试来源可疑的那些应用。这种攻击必须依托应用本身,攻击者无法远程给你推送提示弹窗。如果你一直坚持使用可靠的应用,那就很难得碰上这种钓鱼攻击了。

      如果真的在使用应用的过程中碰到了突然的要求输入密码的弹窗,而自己又非常不确定这是不是陷阱的时候呢?Krause 推荐我们按下 Home 键。按下去后如果没有退回主界面,而且提示框还在,那这就是真的系统通知,因为系统通知运行的另一个不同的进程。反之,那就是钓鱼攻击。

      还有一种办法,就是随便输入一些和密码完全无关的字符。如果说即使这样,应用还是显示登录成功,那么这很明显就是骗人的了。

      所以说一千道一万,最关键的还是自己平时用手机的时候得多留一个心眼,增加防范的意识。当然了,要求所有人都去了解这些,时时刻刻绷紧神经肯定不现实。所以,苹果同样有责任要解决这个问题。
  4. 苹果所需要做的

      苹果所应该做的事情,最简单最笨的方案就是取消弹窗输入密码机制,自动打开或让用户自己去设置里完成登录。这是一种办法,但是会比较影响体验,毕竟多了些步骤,久而久之还是会让人觉得麻烦。

      如果要从更加本质上去解决问题,那就得将系统弹窗和应用弹窗从界面外观上区分开来。至少,来自应用的弹窗也应该在显眼出有该应用的图标。这样人们才能够分得清,究竟哪些才是安全的、来自系统的应用。

      另外,苹果可以考虑优化 Apple ID 密码验证机制,让用户不再需要频繁去输入密码确认。这样,某种程度上也能让人们在类似的事件发生时,能更谨慎地去观察,而不是习惯成自然地全盘照做。

      总的来说苹果在应用上架审核上还是很到位的,但在审核通过后再去加入这些恶意代码的办法不是没有,所以我们还是得小心防范。平时使用应用的时候多注意,等待苹果在今后的版本里想办法解决问题。

    相关文章

  1. 乔纳森为什么会说人们过度依赖iPhone了?
  2. iOS 11 控制中心WiFi蓝牙开关其实是一项进...
  3. 看看锋友带来的原汁原味iPhone 8 Plus随拍
  4. 库克:现有技术无法打造最优秀的AR眼镜
  5. 日本女高中生最爱iPhone 原因竟是这个!

    延伸阅读

  1. 回顾过去 新的App Store其实是回归了初心
  2. iOS 11来了!带你一览这全新的App Store
  3. 完全看不过来!苹果秋季发布会亮点大汇总
  4. 苹果真正的想法:Siri如何由机器成为人
  5. 苹果的脸部革命:iPhone 8让你自拍拍出花来
锋友跟帖
人参与
人跟帖
现在还没有评论,请发表第一个评论吧!
正在加载评论
  1. 威锋客户端
  2. 用微博扫我
返回顶部
关闭

腾博会官网