不想Apple ID被盜用,就要學懂區分iOS上的假密碼輸入框

Image Credit: Felix Krause
你為什麼需要這則新聞

在iOS上,別有用心的app可以偽冒系統,要求用戶輸入密碼。那麼如何才能夠辨認假貨?

在蘋果的iOS上,安裝、更新軟件或用到某些權限時,系統會彈出一個密碼輸入框,要求用戶輸入Apple ID的密碼。一般用戶見到時,相信都會乖乖輸入。

不過手機應用開發員Felix Krause認為iOS經常彈出有關密碼輸入框,令用戶習慣一看到就輸入密碼,而且在開啟其他Apps時也會彈出通知,降低用戶警覺性。

他日前指出這些彈出式通知引起安全問題︰黑客可以偽造一樣的對話框,從而騙取用戶的Apple ID密碼。他更表示,如果你想取得用戶的密碼,只要有禮貌地問他們就可以,因為他們已被訓練成會自行交出密碼。

為了證實這方法可行,Krause自行設計了會彈出相同密碼輸入框的程式,並跟真正的iOS輸入框並置,相信絕大部份人都無法區分兩者︰

ios_password_popup_1
Image Credit: Felix Krause

Krause又表示,起初他以為要偽造密碼輸入框,最少要先知道用戶的電郵地址,但後來他發現有時候iOS的密碼輸入框沒有包含電郵,於是更容易模仿︰

ios_password_popup_2
Image Credit: Felix Krause

既然真假密碼輸入框看起來並無二致,iOS用戶可以如何防止密碼被盜取?Krause建議,當見到這類通知時,先按Home鍵,看看有沒有退出正在使用的app︰

  • 如果app連同密碼輸入框一同關掉,那就是釣魚(phishing)攻擊;
  • 如果仍然見到app和密碼輸入框,就代表請求來自系統。

另外,不要在彈出式對話框輸入密碼,反而應該退出,開啟「設定」,就像不要在電郵中按連結,而應該手動貼上網址。最後就是不要打上密碼後才按「取消」,假如那是偽冒的密碼輸入框,即使按了取消,app仍會取得你打上去的字串。

Krause已經匯報了這個問題,他認為iOS應明確區分系統和應用的使用者介面,令用戶容易看出對話框來自系統抑或應用。

相關文章︰

資料來源︰

或許你會想看
更多『新聞』文章 更多『科技』文章 更多『Kayue』文章
Loader