您想知道用户的Apple ID和密码吗？想要访问用户的Apple帐户？或者在其他网络服务上使用Apple ID作为电子邮件和密码？你只需要礼貌地问他们，他们可能会告诉你。 攻击原理 在许多情况下，iOS将要求用户输入他们的iTunes密码。最常见的情况是安装iOS系统更新，应用程序在安装过程中卡住。 因此，当提示输入Apple ID和密码时，用户已习惯于输入ID和密码。但是，这些提示不仅出现在锁定屏幕，主页上，还出现在随机应用程序中，例如当应用程序想要访问iCloud，游戏中心或应用程序内购买时。 因此，这种提示可以被任何应用程序滥用。它可以通过UIAlertController轻松实现，效果看起来与系统对话框完全相同。即使知道一点点网络钓鱼攻击的用户也很难在很短的时间内发现这些警告（提示）作为网络钓鱼攻击。 如何保护 如果发生这种情况，您可以按主页按钮查看应用程序是否已退出： 如果应用程序和输入苹果ID密码的对话框都关闭，则证明这是网络钓鱼攻击; 如果应用程序和对话框都可见，则这是一个系统对话框;因为系统对话框是一个不同的过程，而不是iOS应用程序的一部分。 不要在弹出窗口中输入ID和密码，手动打开系统设置进行输入。这只是不点击电子邮件中的链接并在浏览器中手动更改它的问题。 如果单击取消按钮，应用程序仍将记录您在密码字段中键入的内容，因此当您关闭弹出对话框时，首先清除在弹出框中输入的内容。 我们之前想到的是，虚假警告消息要求应用程序的开发人员知道ID的电子邮件地址。实际上，弹出框的电子邮件地址和密码需要用户输入。因此，这种钓鱼应用程序可以更容易地向用户询问密码。 建议 因此，这种提示可以被任何应用程序滥用。它可以通过UIAlertController轻松实现，效果看起来与系统对话框完全相同。即使知道一点点网络钓鱼攻击的用户也很难在很短的时间内发现这些警告（提示）作为网络钓鱼攻击。 今天的网络浏览器可以很好地防范网络钓鱼攻击，但移动应用中的网络钓鱼攻击是一个相对较新的概念。 当系统要求用户输入Apple ID和密码时，让用户在打开系统设置后进入; 解决此问题的根本原因是系统不应总是要求用户输入ID和密码; 应用程序中的对话框应在顶部显示应用程序的徽标，以区别于系统对话框; 有时iOS会在屏幕锁定时弹出这样的通知（如下所示）。单击将打开iCloud设置，这比直接向用户询问密码更好。 复杂 因此，这种提示可以被任何应用程序滥用。它可以通过UIAlertController轻松实现，效果看起来与系统对话框完全相同。即使知道一点点网络钓鱼攻击的用户也很难在很短的时间内发现这些警告（提示）作为网络钓鱼攻击。 制作这样的弹出窗口非常容易。 Apple文档中有一些示例，实际的网络钓鱼弹出代码不超过30行。 Q＆安培; A 双因素身份验证是否安全？ 答案是否定的，尽管有些人使用双因素身份验证，但仍有许多用户在大多数Web服务中使用相同的用户名和密码。即使您的帐户是双因素身份验证，该应用程序也可以询问您第二个代码！ Apple商店会接受这样的应用程序吗？ 答案是肯定的。虽然App Store有很多安全机制，但有很多方法可以解决它，例如： 使用远程代码，JS桥等 使用iTunes搜索API将当前版本号与App Store中的版本号进行比较，以便应用程序在达成协议后自动执行恶意代码; 使用远程配置工具配置仅在Apple通过后执行的功能; 使用仅在审核或拒绝应用后执行的基于时间的触发器; 移动网络钓鱼攻击 手机网络钓鱼攻击将变得越来越普遍。此网络钓鱼攻击是由iOS引起的，没有明确区分系统UI的UI和应用程序。许多网站也会有像macOS和iOS这样的弹出窗口，因此很多用户会认为这是一个系统子弹。 参考链接：https://github.com/KrauseFx/steal.password *作者：ang010ela 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。