當你的iPhone 出現這樣的彈窗時，你的第一反應是什么?

我相信大多數人都會立刻在腦海里回憶自己的Apple ID 賬號和密碼，記起來之后，把相應的內容填寫進去。但，仔細想想，我們怎么確保這個彈窗真的是iOS 系統調用的而不是第三方開發者釣魚呢?

澳大利亞開發者Felix Krause 也想到了這個問題，他在他的博客文章中，討論了開發者故意在自己的應用中設計釣魚彈窗來盜取用戶Apple ID 與密碼的可能性，這種自行設計的彈窗可以做到在顯示上與iOS 賬號密碼輸入彈窗完全相同。

左為iOS 官方系統彈窗;右 為釣魚彈窗

騙術揭秘

那么，通過這種釣魚手段來「光明正大」地盜取用戶Apple ID 的賬號與密碼，是否能夠實現呢?答案是有可能的。

首先，不管是哪一代iOS 系統，都曾向用戶展示過這樣的賬號密碼彈窗，比如在iOS 升級時、Game Center 登錄時、應用內付費購買時等等。iOS 用戶已經理所當然地養成了毫不猶疑在這樣的輸入框中填寫賬號密碼的習慣。因此利用釣魚彈窗來盜取Apple ID 賬號密碼，大多數用戶可能都會乖乖配合。

此外，這類彈窗采用的是iOS 統一設計規范中的UIKit - UIAlertController。一直以來，Apple 都鼓勵開發者調用UIKit 來使iOS 應用看起來有統一的設計，而開發者只需要將UIAlertController 的title、message 和Action 稍作修改，就能實現真假難辨的釣魚彈窗。這是一段非常簡單的代碼，只要是位開發者都知道怎么寫，所以問題就在于開發者有沒有做壞事的心思。

截圖

你想問開發者怎么會知道我的Apple ID 郵箱呢，再設計一個彈窗也不是什么難事。你以為你輸入的內容無人知曉，實際上應用已經悄悄記錄了下來。

最后，Apple 不會讓這些應用通過上架審核的吧?這很難說，盡管Apple 在檢測第三方應用安全性方面做了很多努力，但是近兩年Apple 一直在強調App Store 應用審核時間大大縮短，這也意味著審核質量在一定程度上發生了變化。

更糟糕的是，這類彈窗完全可以在應用通過App Store審核后實現，繞開Apple 的各種審核手段，例如使用遠程代碼、定時代碼等(遠程代碼是被禁止使用的，但仍有通過審核的可能)。

如何防騙

那么，對用戶而言，是否有一種有效的手段可以避免被這類以假亂真的釣魚彈窗欺騙呢?答案也是肯定的。以下的方法都可以使用：

按一下Home 鍵看看它會不會消失

如果一個Alert 彈窗是系統實現的，那么按下Home 鍵，它不會消失;而如果一個Alert 彈窗是應用實現的，那么按下Home 鍵，它會消失。下圖的彈窗是在App Store 更新應用時觸發的，可以看到按下AssistiveTouch 中的Home 鍵后，它并沒有消失，而仍然顯示在主屏幕上。

同樣，不會消失的系統彈窗還有將電話號碼用于iMessage 和FaceTime 時的彈窗、開啟使用Touch ID 下載應用時的彈窗等。這是因為這些彈窗都是由iOS 系統發出的，脫離于任何一個應用之外。

不過，按下Home 鍵來辨別其它類型的釣魚彈窗就不管用了，因為iOS 上需要Apple ID 賬號和密碼的場景很多。比如在iOS 11 中第三方應用的內購，可能會需要輸入密碼，而這些窗口在按下Home 鍵后是會消失的。

不輸入或故意輸入錯誤的賬號和密碼

如果是iOS 系統要求你輸入Apple ID 賬號和密碼，顯然你必須輸入正確的內容，才能使操作繼續。而如果你輸入了錯誤的內容或者干脆不輸入也能繼續，那么很有可能這是釣魚彈窗。

不要在彈窗中輸入賬號和密碼

盡量使用Touch ID、Face ID 等身份認證方式，而避免在彈窗中輸入賬號密碼。如果一定要輸入才能進行身份認證，可以在iOS 系統的「設置」中進行，因為iOS 系統官方的彈窗，就是從設置中調取用戶的身份認證。

終極保護：雙重認證

為你的Apple ID 開啟雙重認證后，當有應用或服務想要訪問你的賬號時，iOS 除了要求你輸入賬號和密碼之外，還會給你的「受信任設備」或「受信任電話號碼」發送驗證碼，這三項完全正確，才能訪問你的Apple ID。因此，即使釣魚彈窗獲取了你的Apple ID 賬號和密碼，它們也無法得知驗證碼，在短時間內你的賬戶還是安全的。你可以盡快修改Apple ID 賬號和密碼，以防數據泄漏財產損失。

注：本文作者ElijahLee 堅決反對一切組織或個人使用文章中的方法、代碼、圖片等一切形式進行盜取Apple ID、竊取隱私數據、敲詐勒索等違法犯罪行為