IOS之家 > bug!钓鱼攻击能通过iOS弹出窗口窃取用户密码

  【AdminSo资讯】开发人员Felix Krause为了展示潜在的iOS安全漏洞,创建了一个钓鱼攻击的概念验证,该攻击利用系统弹出窗口以及用户与这些消息交互的方式进行,窃取Apple ID凭据。      Krause周二在一篇博客文章中详细介绍了该方法,指出苹果的iOS提示用户输入iTunes密码或Apple ID密码,无论是应用程序下载,固件更新还是应用内购买的身份验证,凭证寻求弹出窗口都有许多成为iOS体验的一部分...《bug!钓鱼攻击能通过iOS弹出窗口窃取用户密码

  【AdminSo资讯】开发人员Felix Krause为了展示潜在的iOS安全漏洞,创建了一个钓鱼攻击的概念验证,该攻击利用系统弹出窗口以及用户与这些消息交互的方式进行,窃取Apple ID凭据。

   

  Krause周二在一篇博客文章中详细介绍了该方法,指出苹果的iOS提示用户输入iTunes密码或Apple ID密码,无论是应用程序下载,固件更新还是应用内购买的身份验证,凭证寻求弹出窗口都有许多成为iOS体验的一部分。

  随着iOS的要求,以及对这些请求是合法的固有信任,苹果无意中“训练”了用户在不经过审查的情况下交出密码,这种情况,加上恶意开发人员的一些手段,带来了真正的安全威胁, Krause说。

  开发人员注意到一个看似简单的UIAlertController,精心制作以模仿苹果的系统对话框,可以用于成功的网络钓鱼攻击。 如上图截图所示,Krause能够创建一个虚假的密码请求弹出窗口,可能会欺骗大量的iOS用户。

  此外,虽然有一些会提醒说该app需要确认用户的电子邮件地址,但有些授权弹出窗口则没有。

  这个漏洞一直是一个已知的问题,Krause已经决定不透露他制作的弹出式窗口的来源。 但是,开发人员表示,复制苹果官方对话是“非常容易的”,指出该项目不到30行代码。

  Krause指出,包含此类代码的应用程序不太可能通过App Store批准过程进行,但是开发人员可以使用一些未经授权的解决方法在标题生效后执行恶意代码。

  虽然没有确定的方式来防范弹出式网络钓鱼攻击,但用户可以在处理敏感信息时小心谨慎。

  例如,Krause说,用户可以通过在出现可疑应用程序时按住主页按钮来测试对话框是否合法。如果操作关闭了应用程序和对话框,弹出窗口可以被确定为网络钓鱼攻击,而不是合法的Apple系统进程。

  Krause建议用户不要将凭据全部输入弹出窗口。相反,用户应该在“设置”应用中关闭可疑对话框并输入密码信息。双因素身份验证可以防止某些攻击,但是狡猾的开发人员可以使用类似于上述的网络钓鱼方法来绕过密码和代码协议。

  在向苹果提交的雷达中,Krause建议iOS应该指出是否来自系统请求或应用程序请求的对话。他还建议在“设置”应用程序中处理所有密码请求,而不是通过直接的弹出窗口。