iOS的較粗糙的瑕疵之一是它在常規但看似隨機的基礎上產生的快顯視窗, 這些快顯視窗要求用戶在安裝或更新應用程式或完成其他一些任務之前輸入他們的Apple ID。
移動應用開發人員Felix Krause提出了一個令人信服的案例, 即這些快顯視窗代表了一個潛在的安全性漏洞, 攻擊者可以竊取用戶憑據。 週二公佈的一篇博文中, 他展示了由iOS製作的官方快顯視窗和概念驗證彈出式窗口的並排比較, 如上圖所示。 外觀上的彈出式視窗需要少於30行代碼, 並且可以隱藏到到已經進入蘋果App Store的合法應用程式中。
“iOS應該非常清楚地區分系統UI和應用程式UI元素, 所以理想情況下, 對於一般智慧手機用戶來說, 這似乎是明顯的, ”Krause寫道。 “這是一個棘手的問題要解決, 網頁流覽器仍在處理它;您仍然有一些網站使快顯視窗看起來像macOS / iOS快顯視窗,
放大
Krause指出, iOS產生的一些提示會像上面的一樣。 它可以作為所有系統生成的密碼提示的模型。
他建議蘋果打造一個統一的官方iOS密碼提示, 不能輕易地被應用程式模仿。 Ars已經要求蘋果對這個提案發表評論,
在此期間, iOS使用者可以通過在遇到密碼快顯視窗時執行以下操作來保護自己:點擊主頁按鈕。 如果應用和密碼提示關閉, 提示可能是一個網路釣魚嘗試。 如果對話方塊和應用仍然可見, 則該對話方塊由iOS生成。 Krause還建議不要在任何對話方塊中輸入密碼。 相反, 我們應該解除它, 手動打開iOS設置視窗, 並在那裡輸入密碼。
當然, 人們應該強烈地考慮使用蘋果的雙因素身份驗證, 這要求用戶輸入驗證碼以及提供密碼。 保護是值得使用的, 但它可以以與密碼相同的方式進行釣魚。 為此, 2fa不應被視為克勞斯強調的問題的解決方案。 Krause還表示, 蘋果公司的應用程式審查程式旨在防止攻擊者將惡意標題偷入App Store,