當(dāng)你的 iPhone 出現(xiàn)這樣的彈窗時，你的***反應(yīng)是什么？ 

我相信大多數(shù)人都會立刻在腦海里回憶自己的 Apple ID 賬號和密碼，記起來之后，把相應(yīng)的內(nèi)容填寫進去。但，仔細想想，我們怎么確保這個彈窗真的是 iOS 系統(tǒng)調(diào)用的而不是第三方開發(fā)者釣魚呢？

澳大利亞開發(fā)者 Felix Krause 也想到了這個問題，他在 他的博客文章 中，討論了開發(fā)者故意在自己的應(yīng)用中設(shè)計釣魚彈窗來盜取用戶 Apple ID 與密碼的可能性，這種自行設(shè)計的彈窗可以做到在顯示上與 iOS 賬號密碼輸入彈窗完全相同。

:white_check_mark: 為 iOS 官方系統(tǒng)彈窗；:no_entry_sign: 為釣魚彈窗

騙術(shù)揭秘 :gun:

那么，通過這種釣魚手段來「光明正大」地盜取用戶 Apple ID 的賬號與密碼，是否能夠?qū)崿F(xiàn)呢？答案是有可能的。

首先，不管是哪一代 iOS 系統(tǒng)，都曾向用戶展示過這樣的賬號密碼彈窗，比如在 iOS 升級時、Game Center 登錄時、應(yīng)用內(nèi)付費購買時等等。iOS 用戶已經(jīng)理所當(dāng)然地養(yǎng)成了毫不猶疑在這樣的輸入框中填寫賬號密碼的習(xí)慣。因此利用釣魚彈窗來盜取 Apple ID 賬號密碼，大多數(shù)用戶可能都會乖乖配合。

此外，這類彈窗采用的是 iOS 統(tǒng)一設(shè)計規(guī)范中的 UIKit - UIAlertController。一直以來，Apple 都鼓勵開發(fā)者調(diào)用 UIKit 來使 iOS 應(yīng)用看起來有統(tǒng)一的設(shè)計，而開發(fā)者只需要將 UIAlertController 的 title、message 和 Action 稍作修改，就能實現(xiàn)真假難辨的釣魚彈窗。這是一段非常簡單的代碼，只要是位開發(fā)者都知道怎么寫，所以問題就在于開發(fā)者有沒有做壞事的心思。

 你想問開發(fā)者怎么會知道我的 Apple ID 郵箱呢，再設(shè)計一個彈窗也不是什么難事。你以為你輸入的內(nèi)容無人知曉，實際上應(yīng)用已經(jīng)悄悄記錄了下來。

***，Apple 不會讓這些應(yīng)用通過上架審核的吧？這很難說，盡管 Apple 在檢測第三方應(yīng)用安全性方面做了很多努力，但是近兩年 Apple 一直在強調(diào) App Store 應(yīng)用審核時間大大縮短，這也意味著審核質(zhì)量在一定程度上發(fā)生了變化。

更糟糕的是，這類彈窗完全可以在應(yīng)用通過 App Store審核后實現(xiàn)，繞開 Apple 的各種審核手段，例如使用遠程代碼、定時代碼等（遠程代碼是被禁止使用的，但仍有通過審核的可能）。

如何防騙 :man|type_1_2:‍:school:

那么，對用戶而言，是否有一種有效的手段可以避免被這類以假亂真的釣魚彈窗欺騙呢？答案也是肯定的。以下的方法都可以使用：

1.按一下 Home 鍵看看它會不會消失

如果一個 Alert 彈窗是系統(tǒng)實現(xiàn)的，那么按下 Home 鍵，它不會消失；而如果一個 Alert 彈窗是應(yīng)用實現(xiàn)的，那么按下 Home 鍵，它會消失。下圖的彈窗是在 App Store 更新應(yīng)用時觸發(fā)的，可以看到按下 AssistiveTouch 中的 Home 鍵后，它并沒有消失，而仍然顯示在主屏幕上。 

同樣，不會消失的系統(tǒng)彈窗還有將電話號碼用于 iMessage 和 FaceTime 時的彈窗、開啟使用 Touch ID 下載應(yīng)用時的彈窗等。這是因為這些彈窗都是由 iOS 系統(tǒng)發(fā)出的，脫離于任何一個應(yīng)用之外。

不過，按下 Home 鍵來辨別其它類型的釣魚彈窗就不管用了，因為 iOS 上需要 Apple ID 賬號和密碼的場景很多。比如在 iOS 11 中第三方應(yīng)用的內(nèi)購，可能會需要輸入密碼，而這些窗口在按下 Home 鍵后是會消失的。

 2.不輸入或故意輸入錯誤的賬號和密碼

如果是 iOS 系統(tǒng)要求你輸入 Apple ID 賬號和密碼，顯然你必須輸入正確的內(nèi)容，才能使操作繼續(xù)。而如果你輸入了錯誤的內(nèi)容或者干脆不輸入也能繼續(xù)，那么很有可能這是釣魚彈窗。

3.不要在彈窗中輸入賬號和密碼

盡量使用 Touch ID、Face ID 等身份認證方式，而避免在彈窗中輸入賬號密碼。如果一定要輸入才能進行身份認證，可以在 iOS 系統(tǒng)的「設(shè)置」中進行，因為 iOS 系統(tǒng)官方的彈窗，就是從設(shè)置中調(diào)取用戶的身份認證。

4.***保護：雙重認證

為你的 Apple ID 開啟雙重認證 后，當(dāng)有應(yīng)用或服務(wù)想要訪問你的賬號時，iOS 除了要求你輸入賬號和密碼之外，還會給你的「受信任設(shè)備」或「受信任電話號碼」發(fā)送驗證碼，這三項完全正確，才能訪問你的 Apple ID。因此，即使釣魚彈窗獲取了你的 Apple ID 賬號和密碼，它們也無法得知驗證碼，在短時間內(nèi)你的賬戶還是安全的。你可以盡快修改 Apple ID 賬號和密碼，以防數(shù)據(jù)泄漏財產(chǎn)損失。

 注：本文作者 ElijahLee 堅決反對一切組織或個人使用文章中的方法、代碼、圖片等一切形式進行盜取 Apple ID、竊取隱私數(shù)據(jù)、敲詐勒索等違法犯罪行為。