XCodeGhost 可能伪装弹窗骗取 AppleId 和密码
datou552211 · 2015-09-18 19:42:04 +08:00 via iPhone · 6315 次点击这是一个创建于 3336 天前的主题,其中的信息可能已经有所发展或是发生改变。
18 条回复 • 2015-09-19 14:59:58 +08:00
 |
1
dianso 2015-09-18 19:55:17 +08:00
用云音乐时候提示我输入了一次密码,有弹窗,我就输入了。
后来还去看了 itunes 购买记录,没有购买任何东西。 看来我是中枪了。 建议网易聘请我做首席下载师,我可以为你们下载官网的任何软件。 |
 |
2
CRH 2015-09-18 20:04:20 +08:00
就算木马再神通广大,也没法弹个对话框偷你的 iCloud 密码。。除非他利用了 iOS 的漏洞。
不然随便写个 APP 就能弹对话框偷密码了那还了得 |
 |
3
dsmo 2015-09-18 20:22:20 +08:00
@CRH 是会的,已经有人分析木马源码了 http://weibo.com/p/1001603888503866975286
|
|
4
CRH 2015-09-18 20:27:37 +08:00
|
 |
5
5up3r 2015-09-18 20:32:49 +08:00
@CRH iOS 确实有这个漏洞 http://drops.wooyun.org/mobile/4998
这是更详细的介绍 http://appsrv.cse.cuhk.edu.hk/~mzheng/paper/ASIACCS2015IOS.pdf 苹果在 iOS 9 中修复了该漏洞 |
|
6
CRH 2015-09-18 20:49:42 +08:00
@5up3r 嗯刚搜到了。。。好吧。看来迷信 iOS 是不对的。
依我看 iOS 压根就应该把 UIAlertViewStyleSecureTextInput ()这类输密码的对话框列为私有 API ,太容易用来钓鱼了 |
 |
7
moonkiller 2015-09-18 21:20:06 +08:00
我也总是遇到无缘无故的弹出输入 Apple ID 和密码的输入框,还都以为是 iOS 的,填了好几遍了。。。
|
 |
8
ScotGu 2015-09-18 21:27:08 +08:00
木马调用了 APPLE 的认证窗口后,并可以获取用户输入的 ICloud 帐号及密码?
如果真是这样那这个漏洞 APPLE 有一定责任,应该会发出声明或公告吧? 不管怎么说,我还是把密码改了吧,怕被锁定勒索。 |
|
9
CRH 2015-09-18 21:44:29 +08:00
@5up3r 有个问题是,这个钓鱼对话框是通过 CFUserNotification 弹出来的,但是这个算 Private API 么?用了 CFUserNotification 的话能通过 App Store 审核么?
如果不能通过审核的话,那就要下载企业版应用才能被钓鱼了。我个人是从来不会下载企业版应用的。 |
 |
10
lawdoge 2015-09-18 22:22:05 +08:00
我确实被莫名其妙弹窗要求输入过 apple id 账户密码,而且还是那种反复弹出不知道支付什么的
|
 |
12
hyzjshwo 2015-09-18 23:22:03 +08:00
我觉得只要输入密码的可能没中招,如果要输入 appleid 和密码的就要注意了,但是也不排除有私有 api 拿到当前登录的 appleid ,至少我不知道有这样的 api 。
|
 |
15
overlords 2015-09-18 23:43:01 +08:00 via iPhone
已有人不需要安全问题消费 Apple store 账户余额
|
 |
16
Donald5VE 2015-09-19 09:36:10 +08:00 via iPad
这个恶意代码应该来源已久, iOS 7 时候遇到过几次去,还以为是越狱了的关系,但是仔细想一下越狱后直安装了 3 个正规来源的插件, iOS 8 之后这个问题没有,就没再放在心上。
|
 |
17
mckelvin 2015-09-19 10:46:08 +08:00 via iPhone
|
Select Language