iOS App 的釣魚

在「iOS Privacy: steal.password - Easily get the user's Apple ID password, just by asking」這邊作者示範了怎麼釣魚:直接模擬 iOS 的系統視窗跟使用者要密碼。

看了只有「操」... 目前想的到的 workaround 只有在看到類似的視窗時跳回主畫面,透過 Settings 裡確認?

One thought on “iOS App 的釣魚”

  1. 不用那麼麻煩啦, 讓 user 自選一張圖片每次顯示在登入對話框就好了. 這種 antiphishing 其實很多銀行有做. Apple 沒做可能只是覺得沒有太氾濫的攻擊吧.

    值得一提的是 Inception 裡面用有趣的手法表現了這個概念. (像主角選的 token 是陀螺)

Leave a Reply

Your email address will not be published. Required fields are marked *