當(dāng)你的 iPhone 出現(xiàn)這樣的彈窗時(shí)，你的***反應(yīng)是什么？ 

我相信大多數(shù)人都會(huì)立刻在腦海里回憶自己的 Apple ID 賬號(hào)和密碼，記起來(lái)之后，把相應(yīng)的內(nèi)容填寫(xiě)進(jìn)去。但，仔細(xì)想想，我們?cè)趺创_保這個(gè)彈窗真的是 iOS 系統(tǒng)調(diào)用的而不是第三方開(kāi)發(fā)者釣魚(yú)呢？

澳大利亞開(kāi)發(fā)者 Felix Krause 也想到了這個(gè)問(wèn)題，他在 他的博客文章 中，討論了開(kāi)發(fā)者故意在自己的應(yīng)用中設(shè)計(jì)釣魚(yú)彈窗來(lái)盜取用戶 Apple ID 與密碼的可能性，這種自行設(shè)計(jì)的彈窗可以做到在顯示上與 iOS 賬號(hào)密碼輸入彈窗完全相同。

:white_check_mark: 為 iOS 官方系統(tǒng)彈窗；:no_entry_sign: 為釣魚(yú)彈窗

騙術(shù)揭秘 :gun:

那么，通過(guò)這種釣魚(yú)手段來(lái)「光明正大」地盜取用戶 Apple ID 的賬號(hào)與密碼，是否能夠?qū)崿F(xiàn)呢？答案是有可能的。

首先，不管是哪一代 iOS 系統(tǒng)，都曾向用戶展示過(guò)這樣的賬號(hào)密碼彈窗，比如在 iOS 升級(jí)時(shí)、Game Center 登錄時(shí)、應(yīng)用內(nèi)付費(fèi)購(gòu)買(mǎi)時(shí)等等。iOS 用戶已經(jīng)理所當(dāng)然地養(yǎng)成了毫不猶疑在這樣的輸入框中填寫(xiě)賬號(hào)密碼的習(xí)慣。因此利用釣魚(yú)彈窗來(lái)盜取 Apple ID 賬號(hào)密碼，大多數(shù)用戶可能都會(huì)乖乖配合。

此外，這類彈窗采用的是 iOS 統(tǒng)一設(shè)計(jì)規(guī)范中的 UIKit - UIAlertController。一直以來(lái)，Apple 都鼓勵(lì)開(kāi)發(fā)者調(diào)用 UIKit 來(lái)使 iOS 應(yīng)用看起來(lái)有統(tǒng)一的設(shè)計(jì)，而開(kāi)發(fā)者只需要將 UIAlertController 的 title、message 和 Action 稍作修改，就能實(shí)現(xiàn)真假難辨的釣魚(yú)彈窗。這是一段非常簡(jiǎn)單的代碼，只要是位開(kāi)發(fā)者都知道怎么寫(xiě)，所以問(wèn)題就在于開(kāi)發(fā)者有沒(méi)有做壞事的心思。

 你想問(wèn)開(kāi)發(fā)者怎么會(huì)知道我的 Apple ID 郵箱呢，再設(shè)計(jì)一個(gè)彈窗也不是什么難事。你以為你輸入的內(nèi)容無(wú)人知曉，實(shí)際上應(yīng)用已經(jīng)悄悄記錄了下來(lái)。

***，Apple 不會(huì)讓這些應(yīng)用通過(guò)上架審核的吧？這很難說(shuō)，盡管 Apple 在檢測(cè)第三方應(yīng)用安全性方面做了很多努力，但是近兩年 Apple 一直在強(qiáng)調(diào) App Store 應(yīng)用審核時(shí)間大大縮短，這也意味著審核質(zhì)量在一定程度上發(fā)生了變化。

更糟糕的是，這類彈窗完全可以在應(yīng)用通過(guò) App Store審核后實(shí)現(xiàn)，繞開(kāi) Apple 的各種審核手段，例如使用遠(yuǎn)程代碼、定時(shí)代碼等（遠(yuǎn)程代碼是被禁止使用的，但仍有通過(guò)審核的可能）。

如何防騙 :man|type_1_2:‍:school:

那么，對(duì)用戶而言，是否有一種有效的手段可以避免被這類以假亂真的釣魚(yú)彈窗欺騙呢？答案也是肯定的。以下的方法都可以使用：

1.按一下 Home 鍵看看它會(huì)不會(huì)消失

如果一個(gè) Alert 彈窗是系統(tǒng)實(shí)現(xiàn)的，那么按下 Home 鍵，它不會(huì)消失；而如果一個(gè) Alert 彈窗是應(yīng)用實(shí)現(xiàn)的，那么按下 Home 鍵，它會(huì)消失。下圖的彈窗是在 App Store 更新應(yīng)用時(shí)觸發(fā)的，可以看到按下 AssistiveTouch 中的 Home 鍵后，它并沒(méi)有消失，而仍然顯示在主屏幕上。 

同樣，不會(huì)消失的系統(tǒng)彈窗還有將電話號(hào)碼用于 iMessage 和 FaceTime 時(shí)的彈窗、開(kāi)啟使用 Touch ID 下載應(yīng)用時(shí)的彈窗等。這是因?yàn)檫@些彈窗都是由 iOS 系統(tǒng)發(fā)出的，脫離于任何一個(gè)應(yīng)用之外。

不過(guò)，按下 Home 鍵來(lái)辨別其它類型的釣魚(yú)彈窗就不管用了，因?yàn)?iOS 上需要 Apple ID 賬號(hào)和密碼的場(chǎng)景很多。比如在 iOS 11 中第三方應(yīng)用的內(nèi)購(gòu)，可能會(huì)需要輸入密碼，而這些窗口在按下 Home 鍵后是會(huì)消失的。

 2.不輸入或故意輸入錯(cuò)誤的賬號(hào)和密碼

如果是 iOS 系統(tǒng)要求你輸入 Apple ID 賬號(hào)和密碼，顯然你必須輸入正確的內(nèi)容，才能使操作繼續(xù)。而如果你輸入了錯(cuò)誤的內(nèi)容或者干脆不輸入也能繼續(xù)，那么很有可能這是釣魚(yú)彈窗。

3.不要在彈窗中輸入賬號(hào)和密碼

盡量使用 Touch ID、Face ID 等身份認(rèn)證方式，而避免在彈窗中輸入賬號(hào)密碼。如果一定要輸入才能進(jìn)行身份認(rèn)證，可以在 iOS 系統(tǒng)的「設(shè)置」中進(jìn)行，因?yàn)?iOS 系統(tǒng)官方的彈窗，就是從設(shè)置中調(diào)取用戶的身份認(rèn)證。

4.***保護(hù)：雙重認(rèn)證

為你的 Apple ID 開(kāi)啟雙重認(rèn)證 后，當(dāng)有應(yīng)用或服務(wù)想要訪問(wèn)你的賬號(hào)時(shí)，iOS 除了要求你輸入賬號(hào)和密碼之外，還會(huì)給你的「受信任設(shè)備」或「受信任電話號(hào)碼」發(fā)送驗(yàn)證碼，這三項(xiàng)完全正確，才能訪問(wèn)你的 Apple ID。因此，即使釣魚(yú)彈窗獲取了你的 Apple ID 賬號(hào)和密碼，它們也無(wú)法得知驗(yàn)證碼，在短時(shí)間內(nèi)你的賬戶還是安全的。你可以盡快修改 Apple ID 賬號(hào)和密碼，以防數(shù)據(jù)泄漏財(cái)產(chǎn)損失。

 注：本文作者 ElijahLee 堅(jiān)決反對(duì)一切組織或個(gè)人使用文章中的方法、代碼、圖片等一切形式進(jìn)行盜取 Apple ID、竊取隱私數(shù)據(jù)、敲詐勒索等違法犯罪行為。