重點文章
在 iOS 裝置購買 App、在 App 進行內購、甚至登入 iCloud 帳號,都會看到登入 Apple ID 的對話方塊,但有沒有想過面對的登入 Apple ID 的對話方塊是假的嗎?
最近有開發者成功開發一種釣魚工具,也完全模彷 iOS 裝置登入 Apple ID 的介面,令用戶不慎輸入 Apple ID,令黑客可以偷取 Apple ID 和密碼作不法用途。這釣魚工具的開發者 Felix Krause 解釋原理,指在 iOS 裝置購買 App 或訪問 iCloud 服務的時候經常出現密碼驗證對話方塊,於是他使用了 UIAlertController 去模擬登入 Apple ID 的設計,直接要求用戶輸入 Apple ID 的密碼,而且這個設計與原本的對話方塊是一模一樣的。
很恐怖了嗎?但其實有方法可以防止,Krause 也提及如果 Apple ID 密碼要求是來自蘋果,出現 Apple ID 介面之後按一下 Home 鍵退出應用程式,這介面仍然會存在,但如果在同一情況下,登入 Apple ID 介面消失了,這代表這個密碼要求可能是從 App 而來,那就要小心了。
Krause 已將這個問題報告給蘋果,目前只能等待蘋果透過 iOS 更新解決這個問題了。