开发者演示 iOS 钓鱼攻击，轻松获取 Apple ID 和密码

近期，开发者 Felix Krause 分享了一种 iOS 钓鱼攻击的方法，这种方法可以让应用开发者使用苹果风格的弹窗轻松获得 iPhone 用户的 Apple ID 和密码。根据 Krause 解释，iPhone 和 iPad 用户可能很喜欢苹果官方的 Appld ID 和密码输入要求，有时当我们在 App Store 购买应用或访问 iCloud 服务时，经常会出现密码验证弹窗。

Krause 使用 UIAlertController 模拟系统密码请求弹窗的设计，这种工具可以轻松创建与苹果 iOS 系统原生相同的弹窗。虽然一些系统提示需要开发者拥有用户的 Apple ID，但有一些弹窗不需要电子邮件地址，而且可以直接要求用户提供密码。这种 iOS 钓鱼工具的方式并不是新出现的，苹果也有很严格的审核，但 iOS 用户还是需要注意，防止自己的密码被盗走。

如果用户想要真正密码弹窗是不是来自于苹果，只需点按 Home 键，如果属于 app，弹窗会消失。如果来自系统，弹窗依然存在。同时，Krause 还建议用户直接在设置应用中完成密码输入验证。Krause 已经将问题报告给苹果，希望苹果能尽快解决。目前，想要更好保护自己的苹果账户，最好打开双重验证机制。