不想Apple ID被盜用,就要學懂區分iOS上的假密碼輸入框

不想Apple ID被盜用,就要學懂區分iOS上的假密碼輸入框
Image Credit: Felix Krause

我們想讓你知道的是

在iOS上,別有用心的app可以偽冒系統,要求用戶輸入密碼。那麼如何才能夠辨認假貨?

在蘋果的iOS上,安裝、更新軟件或用到某些權限時,系統會彈出一個密碼輸入框,要求用戶輸入Apple ID的密碼。一般用戶見到時,相信都會乖乖輸入。

不過手機應用開發員Felix Krause認為iOS經常彈出有關密碼輸入框,令用戶習慣一看到就輸入密碼,而且在開啟其他Apps時也會彈出通知,降低用戶警覺性。

他日前指出這些彈出式通知引起安全問題︰黑客可以偽造一樣的對話框,從而騙取用戶的Apple ID密碼。他更表示,如果你想取得用戶的密碼,只要有禮貌地問他們就可以,因為他們已被訓練成會自行交出密碼。

為了證實這方法可行,Krause自行設計了會彈出相同密碼輸入框的程式,並跟真正的iOS輸入框並置,相信絕大部份人都無法區分兩者︰

ios_password_popup_1
Image Credit: Felix Krause

Krause又表示,起初他以為要偽造密碼輸入框,最少要先知道用戶的電郵地址,但後來他發現有時候iOS的密碼輸入框沒有包含電郵,於是更容易模仿︰

ios_password_popup_2
Image Credit: Felix Krause

既然真假密碼輸入框看起來並無二致,iOS用戶可以如何防止密碼被盜取?Krause建議,當見到這類通知時,先按Home鍵,看看有沒有退出正在使用的app︰

  • 如果app連同密碼輸入框一同關掉,那就是釣魚(phishing)攻擊;
  • 如果仍然見到app和密碼輸入框,就代表請求來自系統。

另外,不要在彈出式對話框輸入密碼,反而應該退出,開啟「設定」,就像不要在電郵中按連結,而應該手動貼上網址。最後就是不要打上密碼後才按「取消」,假如那是偽冒的密碼輸入框,即使按了取消,app仍會取得你打上去的字串。

Krause已經匯報了這個問題,他認為iOS應明確區分系統和應用的使用者介面,令用戶容易看出對話框來自系統抑或應用。

相關文章︰

資料來源︰


猜你喜歡


企業上雲不必膽戰心驚!杜絕駭客攻擊、全面自動防護,鎖定6/29 AWS Security Web Day

企業上雲不必膽戰心驚!杜絕駭客攻擊、全面自動防護,鎖定6/29 AWS Security Web Day

我們想讓你知道的是

架構全面健檢、探索客戶信任的營運之道,所有企業/個人雲端轉型所需要的資安解答,都能在6月29日登場的AWS Security Web Day資訊安全線上研討會獲得解答。

時至今日,網路攻擊時時刻刻在發生。尤其企業在網路環境上提供服務的每一秒鐘,也許都有駭客想要探測企業主機,試圖找到弱點進行攻擊,以取得營業機密或個資,又或是讓企業成為其他目標的攻擊跳板。換言之,若萬一企業不幸被駭客鎖定,就等著終日提心吊膽。

然而,難道企業就一定要面臨這樣的危機,甚至坐以待斃?答案:當然不是。想要架構全面健檢、探索客戶信任的營運之道,所有企業/個人雲端轉型所需要的資安解答,都能在6月29日登場的AWS Security Web Day(資訊安全線上研討會)取得收穫。

掌握資安,由此展開!免費報名AWS Security Web Day

先上雲還是先顧資安?AWS讓企業一件不漏!

事實上,企業並不是數位轉型上雲後,才開始做資安;而是先有資安,才進一步將地端架構搬上雲端。須先釐清如此重要的順序基礎,確保雲端遷移過程一定要安全,才能談更多雲端轉型的成長策略;否則,若只關注資料上雲,但忽略了資安基礎,那麼無論換了多少雲端服務平台,都仍是讓企業暴露在不必要的風險之中。

為保障企業資訊安全,為企業客戶堅守資安防線,全球雲端服務供應商龍頭AWS建議,在資料遷移的過程即導入資安觀念與應用;例如AWS鼓勵企業客戶檢視系統架構或權限配置,確保上雲之後符合最小權限原則,讓無權限者不能任意讀取資料。

資安如同建築的地基結構,是保證企業安穩經營的重中之重。如果企業/個人對雲端轉型的資安課題有興趣,或是希望全盤巡視企業資安、自我健檢,卻又不知如何著手,那麼即將於6月29日登場的AWS Security Web Day(資訊安全線上研討會)絕對是不可錯過的活動。

掌握資安,由此展開!免費報名AWS Security Web Day

AWS Security Web Day,為企業雲端轉型、資安升級

企業雲端轉型該怎麼面對資安問題?關於轉型路上會遇到的資安挑戰與迷思,AWS Security Web Day研討會中,專業講師與企業經驗談都將一一為您指點迷津。

在研討會中,也會以AWS產品作為示範解析,探索資安解決方案。AWS服務產品和關聯供應鏈都經過審查,且是業界公認足夠安全、可用於高度機密的工作環境。

只要掌握AWS全面的資安服務與功能,提升滿足核心安全性與合規性要求的能力,不但能提供企業所需的控制權,更能塑造一個最安全的雲端運算環境來開展業務。另外,AWS也可讓企業的安全任務全面自動化,將主要重心回歸至業務擴展與創新,使用多少就負擔多少費用,讓每一筆成本都高效運用。

AWS Security Web Day 好禮不斷!參加即有機會獲得 $300 AWS Credits

精彩議程將包含:從 AWS 角度看 zero-trust 架構設計、如何在 SaaS 多租戶環境中實現資源獨立性及安全性、在 Kubernetes 環境中實現容器安全性、使用雲原生技術做威脅偵測與自動響應、AWS Security 相關服務免費方案簡介....等等,本次活動也邀請成功企業分享企業資安痛點以及解決方案。

活動當天將進行 100 元外送美食券有獎徵答,同時 AWS 也提供 $300美金 AWS Credits 申請機會給參加者,來協助大家實現第一個上雲計畫!

探索資安,即刻報名AWS Security Web Day:


猜你喜歡