小心假的Apple ID输入视窗骗走你的帐号密码
https://www.ithome.com.tw/news/117347
一名专门打造行动程式建置工具的开发人员Felix Krause在本周展示了如何借由模拟苹果
要求使用者输入Apple ID的接口,诱导使用者交出Apple ID的帐号与密码。
Krause以诙谐的口吻来描述此事:“你想要使用者Apple ID的密码以存取他们的苹果帐号
吗?只要礼貌地问他们,他们很可能就会交出来。”
Krause解释,iOS经常要求使用者输入Apple ID的密码,有时候是为了安装iOS更新,有时
候是在安装程式并卡住的时候,或者是在执行程式内购买时,因此,在每次跳出Apple ID
密码输入接口时,使用者已经习惯不假思索地输入自己的密码。
即使苹果严格把关登上App Store的程式,但这些程式可能会在通过苹果审核之后透过远
端程式码、远端配置工具、 iTunes search API,或者是定时工具来注入伪造接口。
Krause示范了如何于iOS装置上秀出假冒的Apple ID密码输入视窗,涵盖有否要求使用者
电子邮件帐号的两种视窗,显示出它与官方视窗一模一样,根本无法辨别真伪。
要模仿该接口非常地方便,因为苹果提供了文件范例,而且Krause只用了不到30行程式就
写出了接口,还说这对每个iOS工程师而言都很容易。
Krause建议苹果应该要在密码输入视窗上明白标示这是来自系统要求或是行动程式的要求
,也觉得苹果根本不应该经常要用户输入Apple ID密码,若非输入不可,最好是借由设定
功能输入,而非仰赖跳出视窗。