小心假的Apple ID輸入視窗騙走你的帳號密碼 https://www.ithome.com.tw/news/117347 一名專門打造行動程式建置工具的開發人員Felix Krause在本周展示了如何藉由模擬蘋果 要求使用者輸入Apple ID的介面，誘導使用者交出Apple ID的帳號與密碼。 Krause以詼諧的口吻來描述此事：「你想要使用者Apple ID的密碼以存取他們的蘋果帳號 嗎？只要禮貌地問他們，他們很可能就會交出來。」 Krause解釋，iOS經常要求使用者輸入Apple ID的密碼，有時候是為了安裝iOS更新，有時 候是在安裝程式並卡住的時候，或者是在執行程式內購買時，因此，在每次跳出Apple ID 密碼輸入介面時，使用者已經習慣不假思索地輸入自己的密碼。 即使蘋果嚴格把關登上App Store的程式，但這些程式可能會在通過蘋果審核之後透過遠 端程式碼、遠端配置工具、 iTunes search API，或者是定時工具來注入偽造介面。 Krause示範了如何於iOS裝置上秀出假冒的Apple ID密碼輸入視窗，涵蓋有否要求使用者 電子郵件帳號的兩種視窗，顯示出它與官方視窗一模一樣，根本無法辨別真偽。 要模仿該介面非常地方便，因為蘋果提供了文件範例，而且Krause只用了不到30行程式就 寫出了介面，還說這對每個iOS工程師而言都很容易。 Krause建議蘋果應該要在密碼輸入視窗上明白標示這是來自系統要求或是行動程式的要求 ，也覺得蘋果根本不應該經常要用戶輸入Apple ID密碼，若非輸入不可，最好是藉由設定 功能輸入，而非仰賴跳出視窗。 ------- 嚴謹的存取架構一旦成為習慣，也就變成一種致命的漏洞，輸入密碼前先確認目的， 才能避免成為裸照的受害者，你cc -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.107.225 ※ 文章網址: https://www.ptt.cc/bbs/iOS/M.1507719050.A.E1A.html