當(dāng)你的iPhone 出現(xiàn)這樣的彈窗時，你的第一反應(yīng)是什么?

我相信大多數(shù)人都會立刻在腦海里回憶自己的Apple ID 賬號和密碼，記起來之后，把相應(yīng)的內(nèi)容填寫進去。但，仔細想想，我們怎么確保這個彈窗真的是iOS 系統(tǒng)調(diào)用的而不是第三方開發(fā)者釣魚呢?

澳大利亞開發(fā)者Felix Krause 也想到了這個問題，他在他的博客文章中，討論了開發(fā)者故意在自己的應(yīng)用中設(shè)計釣魚彈窗來盜取用戶Apple ID 與密碼的可能性，這種自行設(shè)計的彈窗可以做到在顯示上與iOS 賬號密碼輸入彈窗完全相同。

左為iOS 官方系統(tǒng)彈窗;右 為釣魚彈窗

騙術(shù)揭秘

那么，通過這種釣魚手段來「光明正大」地盜取用戶Apple ID 的賬號與密碼，是否能夠?qū)崿F(xiàn)呢?答案是有可能的。

首先，不管是哪一代iOS 系統(tǒng)，都曾向用戶展示過這樣的賬號密碼彈窗，比如在iOS 升級時、Game Center 登錄時、應(yīng)用內(nèi)付費購買時等等。iOS 用戶已經(jīng)理所當(dāng)然地養(yǎng)成了毫不猶疑在這樣的輸入框中填寫賬號密碼的習(xí)慣。因此利用釣魚彈窗來盜取Apple ID 賬號密碼，大多數(shù)用戶可能都會乖乖配合。

此外，這類彈窗采用的是iOS 統(tǒng)一設(shè)計規(guī)范中的UIKit - UIAlertController。一直以來，Apple 都鼓勵開發(fā)者調(diào)用UIKit 來使iOS 應(yīng)用看起來有統(tǒng)一的設(shè)計，而開發(fā)者只需要將UIAlertController 的title、message 和Action 稍作修改，就能實現(xiàn)真假難辨的釣魚彈窗。這是一段非常簡單的代碼，只要是位開發(fā)者都知道怎么寫，所以問題就在于開發(fā)者有沒有做壞事的心思。

截圖

你想問開發(fā)者怎么會知道我的Apple ID 郵箱呢，再設(shè)計一個彈窗也不是什么難事。你以為你輸入的內(nèi)容無人知曉，實際上應(yīng)用已經(jīng)悄悄記錄了下來。

最后，Apple 不會讓這些應(yīng)用通過上架審核的吧?這很難說，盡管Apple 在檢測第三方應(yīng)用安全性方面做了很多努力，但是近兩年Apple 一直在強調(diào)App Store 應(yīng)用審核時間大大縮短，這也意味著審核質(zhì)量在一定程度上發(fā)生了變化。

更糟糕的是，這類彈窗完全可以在應(yīng)用通過App Store審核后實現(xiàn)，繞開Apple 的各種審核手段，例如使用遠程代碼、定時代碼等(遠程代碼是被禁止使用的，但仍有通過審核的可能)。

如何防騙

那么，對用戶而言，是否有一種有效的手段可以避免被這類以假亂真的釣魚彈窗欺騙呢?答案也是肯定的。以下的方法都可以使用：

按一下Home 鍵看看它會不會消失

如果一個Alert 彈窗是系統(tǒng)實現(xiàn)的，那么按下Home 鍵，它不會消失;而如果一個Alert 彈窗是應(yīng)用實現(xiàn)的，那么按下Home 鍵，它會消失。下圖的彈窗是在App Store 更新應(yīng)用時觸發(fā)的，可以看到按下AssistiveTouch 中的Home 鍵后，它并沒有消失，而仍然顯示在主屏幕上。

同樣，不會消失的系統(tǒng)彈窗還有將電話號碼用于iMessage 和FaceTime 時的彈窗、開啟使用Touch ID 下載應(yīng)用時的彈窗等。這是因為這些彈窗都是由iOS 系統(tǒng)發(fā)出的，脫離于任何一個應(yīng)用之外。

不過，按下Home 鍵來辨別其它類型的釣魚彈窗就不管用了，因為iOS 上需要Apple ID 賬號和密碼的場景很多。比如在iOS 11 中第三方應(yīng)用的內(nèi)購，可能會需要輸入密碼，而這些窗口在按下Home 鍵后是會消失的。

不輸入或故意輸入錯誤的賬號和密碼

如果是iOS 系統(tǒng)要求你輸入Apple ID 賬號和密碼，顯然你必須輸入正確的內(nèi)容，才能使操作繼續(xù)。而如果你輸入了錯誤的內(nèi)容或者干脆不輸入也能繼續(xù)，那么很有可能這是釣魚彈窗。

不要在彈窗中輸入賬號和密碼

盡量使用Touch ID、Face ID 等身份認證方式，而避免在彈窗中輸入賬號密碼。如果一定要輸入才能進行身份認證，可以在iOS 系統(tǒng)的「設(shè)置」中進行，因為iOS 系統(tǒng)官方的彈窗，就是從設(shè)置中調(diào)取用戶的身份認證。

終極保護：雙重認證

為你的Apple ID 開啟雙重認證后，當(dāng)有應(yīng)用或服務(wù)想要訪問你的賬號時，iOS 除了要求你輸入賬號和密碼之外，還會給你的「受信任設(shè)備」或「受信任電話號碼」發(fā)送驗證碼，這三項完全正確，才能訪問你的Apple ID。因此，即使釣魚彈窗獲取了你的Apple ID 賬號和密碼，它們也無法得知驗證碼，在短時間內(nèi)你的賬戶還是安全的。你可以盡快修改Apple ID 賬號和密碼，以防數(shù)據(jù)泄漏財產(chǎn)損失。

注：本文作者ElijahLee 堅決反對一切組織或個人使用文章中的方法、代碼、圖片等一切形式進行盜取Apple ID、竊取隱私數(shù)據(jù)、敲詐勒索等違法犯罪行為