苹果用户可能经常被这个猝不及防的验证弹框所困扰…… 在你下载应用时露面,打开icloud时出现,玩游戏想氪金时还会与你再见一面…… 认真的模样,仿佛你最真诚的守卫者。一次又一次坚定的弹出,让你输入密码到想骂街:
然而它才不在乎你输入密码时是否走心,只要正确,就准许你下载心仪的app。 ▲ 走肾 铁柱曾被这种闹心设计骚扰的不胜其烦,以至于出现了指纹密码Touch ID时第一时间修改了验证模式,然而手抖摸了一下 Home 键导致意外氪金…… ▲ 肉疼的好像意外怀孕 看来输入密码的验证手法还是不可或缺。 既能防止意外氪金,偶尔也会充当一下忠心耿耿的保镖,让你免受App Store中应用纷杂的乱花渐欲迷人眼,这个弹框可以让你冷静一下。 可是如果铁柱告诉你,如果这个弹框是有可能是假的,你会怕吗? 最近一位名叫 Felix Krause 的老伙计提出了这种可能会被用作钓鱼攻击的手法: 模拟出与苹果 iOS 原生系统相同的弹框。 ▲ 你能分清哪个是真哪个是假吗? 想象一下,当你玩某游戏时准备享受一下RMB玩家的快感,体会限时售价1.99元的屠龙宝刀是否真的可以神挡杀神时,弹出了这个界面: 你一定会不假思索的输入密码,毕竟你对“原生系统”的UI是如此熟悉与信任,于是这个世界上知晓你密码的人,又多了一个…… 如此润物细无声的钓鱼手法可比某些山寨产品的山寨手段更难发现马脚,甚至可能让身经百战的技术老司机把车开翻…… ▲ 全是马脚的山寨货 专业人士尚且如此,卸下戒心的大多数用户只会更难识破这个弹框背后暗含的诡计。 这位具有探索精神的老伙计表示,
同时,假如我们的iPhone ID真被偷走,可能你需要做好心理准备,经历一次绝望: 不排除他们有可能用 Apple ID 锁住你的手机并敲诈勒索…… 或者研究你下载应用的偏好,窥视你icloud里面的照片…… 然而据 Felix Krause 介绍,
但是,难道说这种看似不难实现的钓鱼方法真的只存在于概念中吗? 之前是不是发生过类似钓鱼案件? 面对苹果的审查措施,这种手法有没有绕过的可能? 况且这种难辨真假的弹框不一定非要设计在应用程序里,如果设计在网页中,大多数用户一样会不假思索的把 Apple ID 双手奉上吧…… 带着疑惑,铁柱专门找到了信息安全在线教育平台「i春秋」的技术小哥,「i春秋」研发总监永峰表示:
所以就目前看来,我们还是安全的…… 不过就算这种手法真被不法分子用于钓鱼也不必过于担心,铁柱教你留一手: 1.如果你想知道此刻突然出现的密码弹框究竟是来自于你的大手机还是大骗子,只需按一下 Home 键就行。 如果属于 app,弹窗会消失。如果来自系统,弹窗依然存在。 2.打开 Apple ID 的双重认证,这样就算密码真的被盗也不用慌张。贼人会发现一件神奇的事情,苹果账户也用上了手机验证码,这就…… --- 高明的骗术永远是阳谋,而面对随时可能到来的欺骗则需要保持忧患意识。铁柱并不认为这种对于可能性的探索是无意义的。 安全的堡垒之所以会愈加坚实,思维的边境之所以被无限拓宽,可能正是因为有一些人,永远不会把探索的脚步放慢…… -完- 本文作者铁柱,科技媒体人,微信:schizoyo。 |
|