iOS 不時彈出對話窗要求用戶輸入 iTunes 密碼,而由於用戶亦習以為常,在沒有懷疑的情況下輸入密碼。有研究人員認為,這種習慣的情況隨時讓有心人有機可乘,透過網絡釣魚的方式盜取用戶的 Apple ID 密碼!
慣性輸入密碼降低用戶警覺性
研究人員認為,頻繁要求用戶輸入密碼,會令用戶在面對任何輸入 Apple ID 密碼的要求時失去警覺性。因為輸入密碼的要求沒有固定的出現地方,例如所有 App 連線 iCloud、GameCenter 或者在應用程式內購物時,都會彈出相同的要求畫面,久而久之用戶便會失去警覺性。
研究人員表示,製作像真的系統對話窗極度容易,隨時讓網絡罪犯有機可乘,只要製作幾可亂真的輸入密碼對話窗,背後連接釣魚網站,用戶便會乖乖地輸入,而且即使熟識科技的用戶也隨時中招。
一個按鍵測試真偽
研究人員提出了幾個分辨真偽的方法,例如:當輸入密碼的對話窗彈出時,按 Home 鍵,如果對話窗消失,那個就是釣魚攻擊,如果對話窗仍然存在,便是真的系統對話窗,因為系統對話分開執行,不是任何應用程式的一部份,所以不能透過 Home 鍵取消。第二個方法是雙重認證,但仍然存在風險,因為當用戶沒有第二重證認時,便會提出索取要求,而這訊息也可能是向黑客的伺服器發送。
治本方法需 Apple 處理
針對以上情況,研究人員提出兩個建議,第一個是當要求 iTunes ID時,必需要求用戶打開 iOS 設定的應用程式。第二個是在要求輸入密碼的對話視窗中,顯示該要求由應用程式提出,而並非來自系統。雖然假的對話窗要求黑客知道用戶的電郵地址才能達到像真的效果,但研究人員認為,即使沒有電郵地址,不少用戶仍然是毫不猶豫便輸入自己的密碼。
資料來源:Threat Post