假冒登录Pop-Ups的iPhone应用程序可以窃取您的密码

苹果iOS应用程序开发人员透露,恶意iPhone应用程序可以通过伪造的登录弹出窗口窃取用户的个人信息。

移动应用程序开发人员周二在博客文章中证实了这个漏洞可能会让犯罪分子获得iPhone所有者Apple帐户的访问权限。

克劳斯说,安全漏洞已经存在多年,尚未得到解决。 Apple发言人没有立即回复评论请求。

密码网络钓鱼诈骗对于应用程序开发人员来说相对简单,iPhone用户可能甚至没有意识到他们已成为目标。

在某些应用程序中显示为Apple提示的“登录iTunes Store”弹出窗口可由开发人员复制并作为警报放入应用程序的代码中。

“只要iOS提示你这样做,用户就会被训练只输入他们的Apple ID密码,”Krause在他的博客中写道描述了这个问题。 “那些弹出窗口不仅显示在锁定屏幕和主屏幕上,还显示在随机应用程序中。

“这很容易被任何应用程序滥用......即使对技术了解很多的用户也很难发现这些警报是网络钓鱼攻击。”

Krause表示,如果用户怀疑登录弹出窗口是伪造的,用户可以通过按下iPhone上的主页按钮来保护自己。 如果按下按钮关闭应用程序,弹出窗口,那就是网络钓鱼攻击。

到目前为止,这仅仅是一个概念验证,并且在iOS应用程序中没有发现漏洞的任何实例。 为了纠正它,Krause说苹果可以调整应用程序请求Apple ID密码的方式。

apple iphone 8 plus battery exploding Apple于9月29日在莫斯科的GUM百货商店推出了iPhone 8和8 Plus .Sefa Karacan / Anadolu Agency / Getty Images

例如,Apple可以要求iPhone用户将其用户名和密码输入到手机的“设置”部分,而不是使用登录弹出窗口。

iPhone用户还可以启用双因素身份验证,以访问其Apple帐户。

Krause的博客发布不到一个星期后被发现,允许这个骑车公司秘密记录iPhone用户的屏幕。

移动安全研究员Will Strafach将这种称为“权利”的功能发布到 ,将其在应用程序代码中的存在描述为“非常不寻常”。

“看起来没有其他第三方开发商能够让Apple给予他们这种性质的私人敏感权利,”Strafach说。 “考虑到优步过去的隐私问题,我很好奇他们如何说服苹果允许这样做。”

  • $15.21
  • 06-07

选择颜色

Quantity :

Share :