上周，iOS、Android 應(yīng)用開發(fā)輔助工具 Fastlane 的創(chuàng)始人、安全專家 Felix Krause 公布了一篇文章（鏈接在此：https://krausefx.com/）。

其中的內(nèi)容讓雷鋒網(wǎng)編輯看的虎軀一震，如果軟件開發(fā)者想釣到你的 Apple ID ，能做出幾乎可以亂真的賬號密碼對話框。對于我這種游戲黨來說，下載各類游戲時經(jīng)常需要輸入密碼，一般來說是不會懷疑的。如果被釣到，豈不是可以修改我的密碼，遠程鎖機勒索我？

在沒有提示的情況下，你能分清下面哪個是釣魚軟件么？

▲不是質(zhì)疑大家的英語水平，右邊是釣魚的

作為配置 iOS 和 Android 自動化 Beta 部署和發(fā)布的最簡單的工具之一，F(xiàn)astLane 可以簡化一些乏味、單調(diào)、重復的工作，比如截圖、代碼簽名以及發(fā)布 App，所以深受不少開發(fā)者的喜愛。而 Felix Krause 正是在此過程中發(fā)現(xiàn)了軟件開發(fā)者可以做出虛假系統(tǒng)對話框，以此來釣到用戶的 Apple ID 和密碼。

APP 如何釣到用戶的賬號和密碼？

APP 如何才能盜取用戶的 Apple ID 賬號？ Felix Krause 在文中解釋，iOS 應(yīng)用程序會利用 UIAlertController 來彈出假的 Apple ID 登陸窗口。

那啥是 UIAlertController ？

就是我們經(jīng)常能見到的這個框框↓↓↓

▲UIAlertController 的登錄和密碼對話框示例

軟件開發(fā)者可以用 UIAlertController 來制作一個可以讓用戶輸入賬號和密碼的對話框。

在我們下載各類應(yīng)用時，經(jīng)常需要輸入密碼，那這時候出現(xiàn)的對話框往往是系統(tǒng)發(fā)出的請求。

但是，如果你身處某個應(yīng)用當中時，比如某款游戲需要充值了，這時候很可能彈出需要輸入密碼的對話框，這樣的界面會讓用戶放松警惕，輸入自己的 Apple ID 密碼。

這就到了釣魚軟件發(fā)揮作用的時候了，你填寫進去的賬號密碼瞬間就能發(fā)到黑客的后臺。之前雷鋒網(wǎng)編輯的手機被偷，就遇到了釣魚短信，在大神破解后，我們看到了這樣的后臺↓↓↓簡直是觸目驚心！

有人會問，那對方得知道我的郵箱才能釣到魚，如果我的郵箱沒被泄露就不會……

你還是太天真~

[[207079]]

對方可以選擇讓你輸入郵箱賬號啊↓↓↓

不過，大家不不必過分擔憂， Felix Krause 在文中說，

這種釣魚手法還只存在于概念之中。出于對用戶安全考慮，蘋果會對上架 App Store 第三方應(yīng)用進行審核，只有在應(yīng)用程序被批準之后才能運行某些代碼。

蘋果會不會允許釣魚 APP 的存在？

就在大家都以為這種事情暫時還沒有擔心的必要時，F(xiàn)elix Krause 在文中的 Q&A 環(huán)節(jié)對蘋果會不會允許這種釣魚 APP 存在的回應(yīng)，讓雷鋒網(wǎng)(公眾號：雷鋒網(wǎng))編輯看的又開始心中一緊~

答案是肯定的。雖然 App Store 有很多的安全機制，但是有很多的辦法可以繞過，比如：

使用遠程代碼， JS 橋等；

用 iTunes search API 來比較現(xiàn)在的版本號和 App Store 中的版本號，這樣的話 app 可以在得到同意后，自動執(zhí)行惡意代碼；

用遠程配置工具來配置一個只有 Apple 通過后才執(zhí)行的特征；

使用基于時間的觸發(fā)器，只有當 app 通過審核或拒絕后才執(zhí)行；

　　如何識別釣魚攻擊？

　　既然危險處處都有，我們就要加強防備心，怎樣練就火眼金睛？Felix Krause 給出了識別真假彈框的建議：

[[207080]]

如果在應(yīng)用程序中出現(xiàn)了賬戶密碼彈窗，點擊手機“home”鍵返回主頁面，如果回到主頁面后彈窗也消失，那么這個窗口就是假的，這就是一次釣魚攻擊行為。

如果回到主頁面后，賬戶密碼彈窗依然存在，那么這就是系統(tǒng)自帶的彈窗，是真的。

這么做的原因在于，系統(tǒng)自帶的彈窗使用的進程和應(yīng)用程序的進程不同。

　　萬一中招，如何善后？

　　如果有天你腦殼方掉，真的是不小心就輸入了自己的賬號和密碼怎么辦呢？

　　雷鋒網(wǎng)特地打電話問了一下蘋果客服，得到如下答復↓↓↓

帶上你的發(fā)票，外包裝和三包卡（二選一），去找蘋果售后。

為避免出現(xiàn)賬號被盜的情況，應(yīng)立即開啟雙重驗證， ios9 以上的用戶都可以開啟，即使對方拿到你的 ID 和密碼，他要修改密碼也得向你的蘋果設(shè)備發(fā)驗證碼進行再次確認。

　　參考消息：https://krausefx.com/