如今随着智能手机的不断发展,集合在它身上的功能和服务越来越多。为了获得更多的生活便利,我们会把自己更多的信息绑定在上面。无形中,一旦这些信息泄露,那后果简直不可设想。现在出现了新的隐患,我们应该去了解它更多。
新的隐患
现在每个人都比过去更加地关心自己的手机安全,因为我们深知自己的大量信息都已经捆绑在这个平台上,泄露的后果非常严重。但是一方面大多数人的防范知识和意识有限,另一方面我们使用手机太频繁,总有疏漏的时候。这时,怀有恶意的人就有了可乘之机。
一位资深开发者 Felix Krause 日前公开了一个 iOS 系统中可以被人利用的安全漏洞。通过这个安全隐患,不法者就可以拿到用户的 Apple ID 密码。很关键的一点是,这种盗号的手段非常简单,而且一旦有人使用,用户中招的可能性非常大。所以无论是我们自己还是苹果,都得重视这个问题。
这本质上是一种钓鱼攻击 —— 如果你在使用某个应用的时候,发现突然出现一个弹窗,让你输入密码登录进 iTunes Store 里,那就要小心了,因为这很可能就是在套你的密码。一旦输入进去,你的 Apple ID 密码就会被人知晓。
实现的办法非常简单,任何一个开发了恶意软件的开发者,都可以在代码中使用 UIAlertController 框架,让一个弹窗出现,上面写着和 iOS 系统要求你登录 iTunes Store 时一模一样的内容。只要你朝着输入栏里输入自己的密码,这个内容就能被发送到开发者那里。这一切只需要不到 30 行代码,只是利用了人们的心理弱点而已,任何一个稍有经验的 iOS 开发者都能够很快做出自己的钓鱼攻击机制来。
问题就在于,iOS 的系统提醒弹窗和应用的提醒弹窗在界面外观上是毫无区别的,所以只要一字一句地模仿系统通知的口吻,攻击者就能伪装成系统提醒,骗取用户的信任。
需要注意的是,这种攻击手段目前还没有被人利用,它是 Felix Krause 这位开发者发现,并提前公之于众,希望人们和苹果都重视起来的。所以我们倒也不需要恐慌,从现在开始防范就好了。