在「iOS Privacy: steal.password - Easily get the user's Apple ID password, just by asking」這邊作者示範了怎麼釣魚:直接模擬 iOS 的系統視窗跟使用者要密碼。
看了只有「操」... 目前想的到的 workaround 只有在看到類似的視窗時跳回主畫面,透過 Settings 裡確認?
幹壞事是進步最大的原動力
在「iOS Privacy: steal.password - Easily get the user's Apple ID password, just by asking」這邊作者示範了怎麼釣魚:直接模擬 iOS 的系統視窗跟使用者要密碼。
看了只有「操」... 目前想的到的 workaround 只有在看到類似的視窗時跳回主畫面,透過 Settings 裡確認?
不用那麼麻煩啦, 讓 user 自選一張圖片每次顯示在登入對話框就好了. 這種 antiphishing 其實很多銀行有做. Apple 沒做可能只是覺得沒有太氾濫的攻擊吧.
值得一提的是 Inception 裡面用有趣的手法表現了這個概念. (像主角選的 token 是陀螺)