不肖的開發人員只要模仿蘋果要求輸入Apple ID資訊的介面(右),以假亂真騙取使用者的帳密
一名專門打造行動程式建置工具的開發人員Felix Krause在本周展示了如何藉由模擬蘋果要求使用者輸入Apple ID的介面,誘導使用者交出Apple ID的帳號與密碼。
Krause以詼諧的口吻來描述此事:「你想要使用者Apple ID的密碼以存取他們的蘋果帳號嗎?只要禮貌地問他們,他們很可能就會交出來。」
Krause解釋,iOS經常要求使用者輸入Apple ID的密碼,有時候是為了安裝iOS更新,有時候是在安裝程式並卡住的時候,或者是在執行程式內購買時,因此,在每次跳出Apple ID密碼輸入介面時,使用者已經習慣不假思索地輸入自己的密碼。
即使蘋果嚴格把關登上App Store的程式,但這些程式可能會在通過蘋果審核之後透過遠端程式碼、遠端配置工具、 iTunes search API,或者是定時工具來注入偽造介面。
Krause示範了如何於iOS裝置上秀出假冒的Apple ID密碼輸入視窗,涵蓋有否要求使用者電子郵件帳號的兩種視窗,顯示出它與官方視窗一模一樣,根本無法辨別真偽。
要模仿該介面非常地方便,因為蘋果提供了文件範例,而且Krause只用了不到30行程式就寫出了介面,還說這對每個iOS工程師而言都很容易。
Krause建議蘋果應該要在密碼輸入視窗上明白標示這是來自系統要求或是行動程式的要求,也覺得蘋果根本不應該經常要用戶輸入Apple ID密碼,若非輸入不可,最好是藉由設定功能輸入,而非仰賴跳出視窗。
線