若您跟小編一樣是蘋果愛好者的話,應該常有經驗在蘋果的iOs上、跳出的彈跳視窗內輸入Apple ID,這幾乎是要安裝新的App、或更新時要做的必要動作,相信都會乖乖輸入您的密碼。不過最近有手機應用程式開發專家發現這項設計有漏洞,有惡意的的iOS應用程序可以輕鬆地建立起虛擬的密碼輸入視窗,若用戶輸入密碼到別有用心的偽冒App,您手機綁住的個資、信用卡訊息等都將被竊取喔!!
手機應用開發專家Felix Krause在其部落格警告說,雖然現代網絡瀏覽器已經有很多軟體程式來保護用戶免受網絡釣魚攻擊,但在移動應用程序中的網絡釣魚是一個相當新、待開發的領域,因此用戶很容易受到駭客攻擊。他也認為,iOS經常彈出有關密碼輸入框,讓用戶習慣一看到就輸入密碼,而且在開啟其他Apps時也會彈出通知,降低用戶警覺性。
他日前指出這些彈出式通知引起安全問題︰因為駭客可以偽造一個看起來像系統對話框的UIAlertController。從而騙取用戶的Apple ID密碼。他更表示,如果你想取得用戶的密碼,只要有禮貌地問他們就可以,因為用戶已被訓練成會自行交出密碼。
為了證實這方法可行,Krause自行設計了會彈出相同密碼輸入框的程式,並跟真正的iOS輸入框並置,相信絕大部份人都無法區分兩者︰
Krause又表示,起初他以為要偽造密碼輸入框,最少要先知道用戶的電郵地址,但後來他發現有時候iOS的密碼輸入框沒有包含電郵,於是更容易模仿︰
如何防止密碼被盜?
既然真假密碼輸入框看起來並無二致,iOS用戶可以如何防止密碼被盜取?Krause建議,當見到這類通知時:
- 先按Home鍵,看看有沒有退出正在使用的app︰
- 如果app連同密碼輸入框一同關掉,那就是釣魚(phishing)攻擊;
- 如果仍然見到app和密碼輸入框,就代表請求來自系統。原因是系統對話框運作在不同的系統處理上,而不是任何iOS應用程序的一部分。
- 不要在彈跳式對話框輸入密碼,反而應該退出,開啟「設定」手動輸入,就像不要在Email中隨便點連結去新的網址,而應該手動貼上你想去的新網址;
- 也不要打上密碼後才按「取消」,因為即使按了取消,偽冒的密碼輸入app仍會取得你打上去的字串。
Krause已經向Apple匯報了這個問題,並且認為用戶們應該都要開啟雙重認證來提高帳號的安全性。
Apple 對Apple ID盜用的支援說明頁面: https://support.apple.com/zh-tw/HT204145