iPhone 詐騙又出新招，別看見彈窗就輸密碼

當你的 iPhone 出現這樣的彈窗時，你的第一反應是什麼？

我相信大多數人都會立刻在腦海里回憶自己的 Apple ID 賬號和密碼，記起來之後，把相應的內容填寫進去。但，仔細想想，我們怎麼確保這個彈窗真的是 iOS 系統調用的而不是第三方開發者釣魚呢？??

澳大利亞開發者 Felix Krause 也想到了這個問題，他在 他的博客文章 中，討論了開發者故意在自己的應用中設計釣魚彈窗來盜取用戶 Apple ID 與密碼的可能性，這種自行設計的彈窗可以做到在顯示上與 iOS 賬號密碼輸入彈窗完全相同。

騙術揭秘 ??

那麼，通過這種釣魚手段來「光明正大」地盜取用戶 Apple ID 的賬號與密碼，是否能夠實現呢？答案是有可能的。

首先，不管是哪一代 iOS 系統，都曾向用戶展示過這樣的賬號密碼彈窗，比如在 iOS 升級時、Game Center 登錄時、應用內付費購買時等等。iOS 用戶已經理所當然地養成了毫不猶疑在這樣的輸入框中填寫賬號密碼的習慣。因此利用釣魚彈窗來盜取 Apple ID 賬號密碼，大多數用戶可能都會乖乖配合。

此外，這類彈窗採用的是 iOS 統一設計規範中的 UIKit - UIAlertController。一直以來，Apple 都鼓勵開發者調用 UIKit 來使 iOS 應用看起來有統一的設計，而開發者只需要將 UIAlertController 的 title、message 和 Action 稍作修改，就能實現真假難辨的釣魚彈窗。這是一段非常簡單的代碼，只要是位開發者都知道怎麼寫，所以問題就在於開發者有沒有做壞事的心思。

你想問開發者怎麼會知道我的 Apple ID 郵箱呢，再設計一個彈窗也不是什麼難事。你以為你輸入的內容無人知曉，實際上應用已經悄悄記錄了下來。

最後，Apple 不會讓這些應用通過上架審核的吧？這很難說，儘管 Apple 在檢測第三方應用安全性方面做了很多努力，但是近兩年 Apple 一直在強調 App Store 應用審核時間大大縮短，這也意味著審核質量在一定程度上發生了變化。

更糟糕的是，這類彈窗完全可以在應用通過 App Store審核後實現，繞開 Apple 的各種審核手段，例如使用遠程代碼、定時代碼等（遠程代碼是被禁止使用的，但仍有通過審核的可能）。

如何防騙 ??????

那麼，對用戶而言，是否有一種有效的手段可以避免被這類以假亂真的釣魚彈窗欺騙呢？答案也是肯定的。以下的方法都可以使用：

1?? 按一下 Home 鍵看看它會不會消失

如果一個 Alert 彈窗是系統實現的，那麼按下 Home 鍵，它不會消失；而如果一個 Alert 彈窗是應用實現的，那麼按下 Home 鍵，它會消失。下圖的彈窗是在 App Store 更新應用時觸發的，可以看到按下 AssistiveTouch 中的 Home 鍵後，它並沒有消失，而仍然顯示在主屏幕上。

同樣，不會消失的系統彈窗還有將電話號碼用於 iMessage 和 FaceTime 時的彈窗、開啟使用 Touch ID 下載應用時的彈窗等。這是因為這些彈窗都是由 iOS 系統發出的，脫離於任何一個應用之外。

不過，按下 Home 鍵來辨別其它類型的釣魚彈窗就不管用了，因為 iOS 上需要 Apple ID 賬號和密碼的場景很多。比如在 iOS 11 中第三方應用的內購，可能會需要輸入密碼，而這些窗口在按下 Home 鍵後是會消失的。

2?? 不輸入或故意輸入錯誤的賬號和密碼

如果是 iOS 系統要求你輸入 Apple ID 賬號和密碼，顯然你必須輸入正確的內容，才能使操作繼續。而如果你輸入了錯誤的內容或者乾脆不輸入也能繼續，那麼很有可能這是釣魚彈窗。

3?? 不要在彈窗中輸入賬號和密碼

盡量使用 Touch ID、Face ID 等身份認證方式，而避免在彈窗中輸入賬號密碼。如果一定要輸入才能進行身份認證，可以在 iOS 系統的「設置」中進行，因為 iOS 系統官方的彈窗，就是從設置中調取用戶的身份認證。

4?? 終極保護：雙重認證

為你的 Apple ID 開啟雙重認證 後，當有應用或服務想要訪問你的賬號時，iOS 除了要求你輸入賬號和密碼之外，還會給你的「受信任設備」或「受信任電話號碼」發送驗證碼，這三項完全正確，才能訪問你的 Apple ID。因此，即使釣魚彈窗獲取了你的 Apple ID 賬號和密碼，它們也無法得知驗證碼，在短時間內你的賬戶還是安全的。你可以儘快修改 Apple ID 賬號和密碼，以防數據泄漏財產損失。

註：本文作者 ElijahLee 堅決反對一切組織或個人使用文章中的方法、代碼、圖片等一切形式進行盜取 Apple ID、竊取隱私數據、敲詐勒索等違法犯罪行為。