Geçtiğimiz hafta, bir iOS ve Android uygulama geliştirme yardım aracı olan Fastlane'nin kurucusu ve güvenlik uzmanı Felix Krause bir makale yayınladı (buraya bağlantı: https://krausefx.com/).
İçeriği, Leifeng.com tarafından düzenlenen kaplanın vücudunu şok etti. durumunda Yazılım geliştiriciler Apple Kimliğinizi yakalamak ister ve neredeyse dağınık hesap ve parola iletişim kutuları oluşturabilirler . Benim gibi bir oyun partisi için, çeşitli oyunları indirirken genellikle şifre gerekir. Genel olarak konuşursak, hiç şüphe yok. Yakalanırsam, şifremi değiştirebilir ve bana şantaj yapmak için telefonu uzaktan kilitleyebilir miyim?
Sormadan, aşağıdakilerden hangisinin kimlik avı yazılımı olduğunu söyleyebilir misiniz?
Herkesin İngilizce seviyesini sorgulamıyorum, sağdaki balık tutmak
Beta dağıtımını ve yayınını otomatikleştirmek için iOS ve Android'i yapılandırmanın en basit araçlarından biri olan FastLane, ekran görüntüleri, kod imzalama ve uygulama yayınlama gibi bazı sıkıcı, sıkıcı ve tekrarlayan görevleri basitleştirebilir, bu nedenle birçok geliştirici tarafından sevilir. Bu süreçte Felix Krause, yazılım geliştiricilerin kullanıcının Apple Kimliğini ve şifresini yakalamak için sahte sistem diyalogları yapabileceğini keşfetti.
APP, kullanıcının Apple Kimliği hesabını nasıl çalabilir? Felix Krause, yazıda iOS uygulamalarının sahte bir Apple kimliği giriş penceresi açmak için UIAlertController'ı kullanacağını açıkladı.
Peki UIAlertController nedir?
Bu, sıklıkla görebildiğimiz çerçeve
UIAlertController oturum açma ve parola iletişim kutusu örneği
Yazılım geliştiricileri, UIAlertController'ı kullanıcıların hesaplarını ve parolalarını girmelerine olanak tanıyan bir iletişim kutusu oluşturmak için kullanabilir.
Çeşitli uygulamaları indirdiğimizde, genellikle bir parola girmemiz gerekir.Bu anda görünen iletişim kutusu, genellikle sistemden gelen bir istektir.
Ancak, yeniden doldurulması gereken bir oyun gibi bir uygulamadaysanız, bir parola girmek için bir iletişim kutusu açılabilir. Bu arayüz, kullanıcıların dikkatlerini rahatlatıp Apple Kimliği parolalarını girmelerine olanak tanır.
Bu, kimlik avı yazılımının çalışma zamanıdır. Doldurduğunuz hesap şifresi, bilgisayar korsanının sahne arkasına anında gönderilebilir. Leifeng.com tarafından düzenlenen cep telefonu çalınmadan önce, bir kimlik avı kısa mesajıyla karşılaştık. Büyük tanrı onu kırdıktan sonra, böyle bir arka plan gördük Şok ediciydi!
Birisi soracak, diğer taraf balık yakalamak için posta kutumu bilmeli, eğer posta kutum sızmazsa ...
Hala çok safsın ~
Karşı taraf, e-posta hesabınıza girmenize izin vermeyi seçebilir
Ancak çok fazla endişelenmenize gerek yok. Felix Krause makalede şöyle dedi:
Bu balık tutma tekniği sadece konseptte var . Kullanıcı güvenliği açısından Apple, App Store'da listelenen üçüncü taraf uygulamaları inceleyecektir ve belirli kodlar yalnızca uygulama onaylandıktan sonra çalıştırılabilir.
Tam da herkes şimdilik bu tür şeyler için endişelenmeye gerek olmadığını düşündüğünde, Felix Krause'nin makaledeki QA bağlantısı, Apple'ın bu tür bir kimlik avı uygulamasının var olmasına izin verip vermeyeceğine yanıt verdi, bu da Leifeng.com editörlerinin tekrar gergin hissetmesine neden oldu ~
Cevap Evet. App Store'un birçok güvenlik mekanizması olmasına rağmen, bunları atlamanın birçok yolu vardır, örneğin:
Uzaktan kod, JS köprüsü vb. Kullanın;
Geçerli sürüm numarasını App Store'daki sürüm numarasıyla karşılaştırmak için iTunes arama API'sini kullanın; böylece uygulama, izni aldıktan sonra otomatik olarak kötü amaçlı kod çalıştırabilir;
Yalnızca Apple geçtikten sonra yürütülebilecek bir özelliği yapılandırmak için uzaktan yapılandırma aracını kullanın;
Zamana dayalı tetikleyicileri kullanın ve yalnızca uygulama onaylandığında veya reddedildiğinde yürütün;
Her yerde tehlikeler olduğu için, önlemlerimizi güçlendirmeliyiz ve keskin bakışlı olmak için nasıl pratik yapmalıyız? Felix Krause, doğru ve yanlış mermi çerçevelerini belirlemek için önerilerde bulundu:
Uygulamada hesap şifresi açılır penceresi görünürse, ana sayfaya dönmek için telefonun "ana" düğmesine tıklayın.Ana sayfaya döndükten sonra açılır pencere kaybolursa pencere sahtedir, bu bir phishing saldırısıdır.
durumunda Ana sayfaya döndükten sonra, hesap şifresi açılır penceresi hala var, ardından bu, sistemle birlikte gelen açılır penceredir ki bu doğrudur .
Bunun nedeni sistem ile birlikte gelen pop-up pencerenin kullandığı işlemin uygulama sürecinden farklı olmasıdır.
Ya kafanızı kaybederseniz ve hesabınızı ve şifrenizi yanlışlıkla girerseniz?
Leifeng.com özellikle Apple müşteri hizmetlerini aradı ve sordu ve şu yanıtı aldı
Faturanızı, dış ambalajınızı ve üç paket kartınızı (birini seçin) getirin ve Apple satış sonrası hizmetine gidin.
Hesap hırsızlığını önlemek için hemen iki faktörlü kimlik doğrulamayı açmalısınız. İos9'un üzerindeki kullanıcılar bunu açabilir. Karşı taraf kimliğinizi ve parolanızı alsa bile, parolayı değiştirmek isterse yeniden onaylamak için Apple cihazınıza bir doğrulama kodu göndermesi gerekir. .
Referans mesajı: https://krausefx.com/