有人如何窃取您的iCloud密码
这是iOS向用户展示的默认“登录到iCloud”对话框(有时过于频繁且没有明显原因)。 令我感到恐惧的是,这是一个非常简单的登录提示,提示有人进行诊断,包含在诱饵应用中并用来窃取iCloud密码。
电子邮件地址
尽管开发人员无法轻松获得用户的iCloud电子邮件,但是Apple提供了API,用于验证电子邮件地址是否属于iCloud帐户。
诱饵应用程序可以在注册过程中向用户询问其电子邮件,或从其Facebook帐户获取该电子邮件。 稍后,攻击者可以验证电子邮件是否属于某个帐户,然后显示视频中显示的弹出窗口。 如果电子邮件不属于iCloud帐户,则可以将提示修改为提示所提供的电子邮件地址不正确,而只是在提示中询问电子邮件和密码-大多数人不会三思而后行。
问题
真正的“登录iCloud”弹出窗口似乎随机出现,因此很难检测到假表格。 此外,iOS使用通用的UIAlertController要求用户输入安全信息,这意味着普通人很难检测到假信息。 iOS不应让iOS从警报视图中要求用户登录,而应在iCloud部分启动设置,以便用户可以安全登录。不幸的是,用户已经习惯了当前的对话。 我感到即使苹果确保了他们登录iCloud流程,大多数人仍然会遭受这种攻击。 您可能会认为这样的应用程序将永远不会被Apple接受,但是为了在审阅过程中在雷达下飞行,攻击者可以将弹出窗口延迟显示,直到该应用程序被批准为止。 例如,可能存在一些服务器端逻辑,指示何时以及向谁显示伪造表单。
跟上我在Twitter或网站上的最新动态,请分享这篇文章以提高认识。