上周，iOS、Android 應(yīng)用開發(fā)輔助工具 Fastlane 的創(chuàng)始人、安全專家 Felix Krause 公布了一篇文章（鏈接在此：https://krausefx.com/）。

其中的內(nèi)容讓雷鋒網(wǎng)編輯看的虎軀一震，如果軟件開發(fā)者想釣到你的 Apple ID ，能做出幾乎可以亂真的賬號(hào)密碼對話框。對于我這種游戲黨來說，下載各類游戲時(shí)經(jīng)常需要輸入密碼，一般來說是不會(huì)懷疑的。如果被釣到，豈不是可以修改我的密碼，遠(yuǎn)程鎖機(jī)勒索我？

在沒有提示的情況下，你能分清下面哪個(gè)是釣魚軟件么？

▲不是質(zhì)疑大家的英語水平，右邊是釣魚的

作為配置 iOS 和 Android 自動(dòng)化Beta部署和發(fā)布的最簡單的工具之一，F(xiàn)astLane可以簡化一些乏味、單調(diào)、重復(fù)的工作，比如截圖、代碼簽名以及發(fā)布App，所以深受不少開發(fā)者的喜愛。而 Felix Krause 正是在此過程中發(fā)現(xiàn)了軟件開發(fā)者可以做出虛假系統(tǒng)對話框，以此來釣到用戶的Apple ID 和密碼。

APP如何釣到用戶的賬號(hào)和密碼？

APP如何才能盜取用戶的 Apple ID賬號(hào)？ Felix Krause 在文中解釋，iOS應(yīng)用程序會(huì)利用 UIAlertController 來彈出假的Apple ID登陸窗口。

那啥是 UIAlertController ？

就是我們經(jīng)常能見到的這個(gè)框框↓↓↓

▲UIAlertController的登錄和密碼對話框示例

軟件開發(fā)者可以用 UIAlertController來制作一個(gè)可以讓用戶輸入賬號(hào)和密碼的對話框。

在我們下載各類應(yīng)用時(shí)，經(jīng)常需要輸入密碼，那這時(shí)候出現(xiàn)的對話框往往是系統(tǒng)發(fā)出的請求。

但是，如果你身處某個(gè)應(yīng)用當(dāng)中時(shí)，比如某款游戲需要充值了，這時(shí)候很可能彈出需要輸入密碼的對話框，這樣的界面會(huì)讓用戶放松警惕，輸入自己的Apple ID密碼。

這就到了釣魚軟件發(fā)揮作用的時(shí)候了，你填寫進(jìn)去的賬號(hào)密碼瞬間就能發(fā)到黑客的后臺(tái)。之前雷鋒網(wǎng)編輯的手機(jī)被偷，就遇到了釣魚短信，在大神破解后，我們看到了這樣的后臺(tái)↓↓↓簡直是觸目驚心！

有人會(huì)問，那對方得知道我的郵箱才能釣到魚，如果我的郵箱沒被泄露就不會(huì)……

你還是太天真~

對方可以選擇讓你輸入郵箱賬號(hào)啊↓↓↓

不過，大家不不必過分擔(dān)憂， Felix Krause 在文中說，

這種釣魚手法還只存在于概念之中。出于對用戶安全考慮，蘋果會(huì)對上架 App Store 第三方應(yīng)用進(jìn)行審核，只有在應(yīng)用程序被批準(zhǔn)之后才能運(yùn)行某些代碼。

蘋果會(huì)不會(huì)允許釣魚 APP 的存在？

就在大家都以為這種事情暫時(shí)還沒有擔(dān)心的必要時(shí)，F(xiàn)elix Krause 在文中的 Q&A 環(huán)節(jié)對蘋果會(huì)不會(huì)允許這種釣魚APP存在的回應(yīng)，讓雷鋒網(wǎng)編輯看的又開始心中一緊~

答案是肯定的。雖然App Store有很多的安全機(jī)制，但是有很多的辦法可以繞過，比如：

使用遠(yuǎn)程代碼， JS橋等；

用 iTunes search API 來比較現(xiàn)在的版本號(hào)和App Store中的版本號(hào)，這樣的話app可以在得到同意后，自動(dòng)執(zhí)行惡意代碼；

用遠(yuǎn)程配置工具來配置一個(gè)只有Apple通過后才執(zhí)行的特征；

使用基于時(shí)間的觸發(fā)器，只有當(dāng)app通過審核或拒絕后才執(zhí)行；

如何識(shí)別釣魚攻擊？

既然危險(xiǎn)處處都有，我們就要加強(qiáng)防備心，怎樣練就火眼金睛？Felix Krause給出了識(shí)別真假彈框的建議：

如果在應(yīng)用程序中出現(xiàn)了賬戶密碼彈窗，點(diǎn)擊手機(jī)“home”鍵返回主頁面，如果回到主頁面后彈窗也消失，那么這個(gè)窗口就是假的，這就是一次釣魚攻擊行為。

如果回到主頁面后，賬戶密碼彈窗依然存在，那么這就是系統(tǒng)自帶的彈窗，是真的。

這么做的原因在于，系統(tǒng)自帶的彈窗使用的進(jìn)程和應(yīng)用程序的進(jìn)程不同。

萬一中招，如何善后？

如果有天你腦殼方掉，真的是不小心就輸入了自己的賬號(hào)和密碼怎么辦呢？

雷鋒網(wǎng)特地打電話問了一下蘋果客服，得到如下答復(fù)↓↓↓

帶上你的發(fā)票，外包裝和三包卡（二選一），去找蘋果售后。

為避免出現(xiàn)賬號(hào)被盜的情況，應(yīng)立即開啟雙重驗(yàn)證， ios9 以上的用戶都可以開啟，即使對方拿到你的 ID 和密碼，他要修改密碼也得向你的蘋果設(shè)備發(fā)驗(yàn)證碼進(jìn)行再次確認(rèn)。

參考消息：https://krausefx.com/

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。