這辦法能輕鬆弄到你的密碼?我們詳細說
新的隱患
現在每個人都比過去更加地關心自己的手機安全,因為我們深知自己的大量信息都已經捆綁在這個平台上,泄露的後果非常嚴重。但是一方面大多數人的防範知識和意識有限,另一方面我們使用手機太頻繁,總有疏漏的時候。這時,懷有惡意的人就有了可乘之機。
一位資深開發者 Felix Krause 日前公開了一個 iOS 系統中可以被人利用的安全漏洞。通過這個安全隱患,不法者就可以拿到用戶的 Apple ID 密碼。很關鍵的一點是,這種盜號的手段非常簡單,而且一旦有人使用,用戶中招的可能性非常大。所以無論是我們自己還是蘋果,都得重視這個問題。
這本質上是一種釣魚攻擊 —— 如果你在使用某個應用的時候,發現突然出現一個彈窗,讓你輸入密碼登錄進 iTunes Store 里,那就要小心了,因為這很可能就是在套你的密碼。一旦輸入進去,你的 Apple ID 密碼就會被人知曉。
實現的辦法非常簡單,任何一個開發了惡意軟體的開發者,都可以在代碼中使用 UIAlertController 框架,讓一個彈窗出現,上面寫著和 iOS 系統要求你登錄 iTunes Store 時一模一樣的內容。只要你朝著輸入欄里輸入自己的密碼,這個內容就能被發送到開發者那裡。這一切只需要不到 30 行代碼,只是利用了人們的心理弱點而已,任何一個稍有經驗的 iOS 開發者都能夠很快做出自己的釣魚攻擊機制來。
問題就在於,iOS 的系統提醒彈窗和應用的提醒彈窗在界面外觀上是毫無區別的,所以只要一字一句地模仿系統通知的口吻,攻擊者就能偽裝成系統提醒,騙取用戶的信任。
需要注意的是,這種攻擊手段目前還沒有被人利用,它是 Felix Krause 這位開發者發現,並提前公之於眾,希望人們和蘋果都重視起來的。所以我們倒也不需要恐慌,從現在開始防範就好了。
它為何能騙到人?
右邊是偽造的系統通知,可以看到和左邊相比完全沒有區別
這種騙術能夠騙到人嗎?Felix Krause 認為可能性是存在的,而且一旦出現幾率會很大。某種程度上,這和 iOS 的機制以及人之常情有關係。
iOS 系統經常會要求用戶輸入 Apple ID 的密碼,比如系統更新,應用安裝過程中卡住,當然還有應用下載,內購等等。這些提示會出現得比較頻繁,我們也已經習慣了這種節奏。出於對 iOS 和蘋果的信任,再加上頻繁要求輸入密碼畢竟也是安全性上的考慮,很多時候,我們會毫不猶豫地將密碼打進去。
如果在使用惡意應用時出現這樣的提示框,我們很容易就會認為,接下來的操作可能會涉及到安全因素,需要自己打密碼來進行授權。畢竟如果不輸入的話,有些功能就不可用了,那當然就照著做了。再加上上文所說的,這種提示框的樣子和真正的系統通知沒有任何區別,欺騙性就非常高了。
還有一點就是,現在需要進行安全驗證的地方實在是太多了,雖然這是為了保護隱私考慮,但也很容易讓人們放鬆警惕。畢竟,同一件事情做得太多了,下次再讓我們去做的時候,很可能根本就不會過腦再去想想了。為了方便記憶,我們很多時候多個服務使用的密碼都是同一個。這種高度的重複性,更加縮短了我們的思考過程。
所以一旦密碼通過這種方式泄露,也就更危險,因為這樣一來攻擊者就可以憑藉這個線索,用相同的密碼試其他的服務。一般來說,這基本都能一抓一個準。所以到最後,我們丟的可能不僅僅是 Apple ID 了。
我們所需要做的
那麼我們應該如何來防範呢?其實辦法倒也沒有那麼複雜。最簡單也是最有效的做法,就是只下載那些知名的、可靠的、普遍評價好的應用,而不去輕易嘗試來源可疑的那些應用。這種攻擊必須依託應用本身,攻擊者無法遠程給你推送提示彈窗。如果你一直堅持使用可靠的應用,那就很難得碰上這種釣魚攻擊了。
如果真的在使用應用的過程中碰到了突然的要求輸入密碼的彈窗,而自己又非常不確定這是不是陷阱的時候呢?Krause 推薦我們按下 Home 鍵。按下去後如果沒有退回主界面,而且提示框還在,那這就是真的系統通知,因為系統通知運行的另一個不同的進程。反之,那就是釣魚攻擊。
還有一種辦法,就是隨便輸入一些和密碼完全無關的字元。如果說即使這樣,應用還是顯示登錄成功,那麼這很明顯就是騙人的了。
所以說一千道一萬,最關鍵的還是自己平時用手機的時候得多留一個心眼,增加防範的意識。當然了,要求所有人都去了解這些,時時刻刻繃緊神經肯定不現實。所以,蘋果同樣有責任要解決這個問題。
蘋果所需要做的
蘋果所應該做的事情,最簡單最笨的方案就是取消彈窗輸入密碼機制,自動打開或讓用戶自己去設置里完成登錄。這是一種辦法,但是會比較影響體驗,畢竟多了些步驟,久而久之還是會讓人覺得麻煩。
如果要從更加本質上去解決問題,那就得將系統彈窗和應用彈窗從界面外觀上區分開來。至少,來自應用的彈窗也應該在顯眼出有該應用的圖標。這樣人們才能夠分得清,究竟哪些才是安全的、來自系統的應用。
另外,蘋果可以考慮優化 Apple ID 密碼驗證機制,讓用戶不再需要頻繁去輸入密碼確認。這樣,某種程度上也能讓人們在類似的事件發生時,能更謹慎地去觀察,而不是習慣成自然地全盤照做。
總的來說蘋果在應用上架審核上還是很到位的,但在審核通過後再去加入這些惡意代碼的辦法不是沒有,所以我們還是得小心防範。平時使用應用的時候多注意,等待蘋果在今後的版本里想辦法解決問題。
※watchOS 4.1 beta 2 更新帶來什麼新功能
※庫克或被法國總統說服:未來在銷售國納稅
※美國人蘋果產品擁有率:比5年前增加14%
※看看鋒友帶來的原汁原味iPhone 8 Plus隨拍
TAG:威鋒網2007 |