App Store城堡已被攻破，苹果钓鱼应用防不胜防

大家好，今天来为大家解答App Store城堡已被攻破，苹果钓鱼应用防不胜防这个问题的一些问题点，包括也一样很多人还不知道，因此呢，今天就来为大家分析分析，现在让我们一起来看看吧！如果解决了您的问题，还望您关注下本站哦，谢谢~

对于这种近乎“垄断”的App分发策略，不同的用户有着不同的看法。有人认为这是苹果限制用户选择的方式，也有人认为这是维持iOS生态秩序的代价。 —— 不打开App Store意味着每个应用都必须经过苹果审核，这也是为什么一些爱收集用户数据的流氓互联网巨头在iOS上表现得异常“温顺”。

苹果的生态系统“坚不可摧”吗？

经过后续分析，大致发现了App钓鱼攻击链接：

除了常见的手机号、微信登录之外，本次《菜谱合集》还提供了“Apple ID登录”的选项。该功能首次出现在iOS 13中，允许用户在Face ID或Touch ID验证后直接通过Apple登录。要使用ID 创建新用户，您不再需要输入电子邮件地址、设置密码或接收验证码。使用此功能时，Apple 会询问用户注册时使用的电子邮件地址：

这里涉案人员选择使用Apple ID登录，因此犯罪分子获得了用户的真实电子邮件地址。

随后，犯罪分子向用户启动了一个名为“AppLeID”的弹窗，诱导用户输入Apple ID密码。理论上来说，这种直接要求用户输入密码的行为应该引起用户的警惕。但由于苹果公司“神秘”的安全政策，下载应用程序时要求输入Apple ID密码的情况很常见，有时甚至需要更新应用程序。输入Apple ID密码，因此涉案人员没有注意到任何异常，直接将密码以明文形式发送给犯罪分子。

此时，用户已将账户邮箱和密码发送给不法分子。唯一挡在不法分子面前的就是苹果的两步验证，也就是常见的一次性验证码验证。但在这里，犯罪分子使用了一个小伎俩：为了不频繁中断用户操作，一般只在第一次使用不熟悉的设备时才使用两步验证。

当事人的手机自然不是什么陌生的设备。当用户在App中使用Apple登录时，App可以在后台访问iCloud，并使用刚刚盗取的Apple ID密码将犯罪分子的手机号码添加到涉案人员Apple ID的安全中。手机号码之中。完成后，即使犯罪分子需要输入验证码进行两步验证，也可以直接用自己的手机号码请求验证，无需破坏iOS沙箱读取用户短信。

至此，不法分子已经获得了用户账户邮箱、密码和两步验证码。之后，他们只需在iCloud中将自己的账户添加为家庭群组并激活家庭群组支付，就可以开始窃取当事人的数据。绑定的微信支付是免密码的。诈骗完成后，犯罪分子只需通过iCloud抹掉当事人手机，即可消除当事人手机中的所有短信记录，悄然完成诈骗。

幸运的是，用户立即发现手机被远程擦除，银行的扣款信息也没有被远程删除，给当事人留下了反应的时间。如果短信被成功删除，涉案人员甚至可能不知道自己的Apple ID 已被远程窃取。

权力越大，责任越大？

有些人可能会认为这起。。的涉案者在奇怪的弹窗中输入Apple ID密码是“愚蠢的”，甚至可能会嘲笑涉案者相信“AppLeID”这样明显的钓鱼弹窗。 ”，但实际上钓鱼窗口作弊只是整个盗刷过程中最微不足道的错误。

是的，“AppLeID”确实属于“胆大包天”的骗局标题，但如果犯罪分子输入“AppIe ID”、“App1e ID”甚至用西里尔字母拼出的“le ID”怎么办？您能区分“le ID”和“Apple ID”之间的区别吗？

在我看来，除了不法分子利用网络钓鱼手段窃取用户信息之外，苹果也需要对此负责。与开放的Android应用生态不同，iOS作为苹果生态中最重要的一部分，有着极其严格的App分发限制。甚至苹果的平台安全页面也指出：

与其他移动平台不同，iOS 和iPadOS 不允许用户从网站安装潜在恶意的未签名应用程序或运行不受信任的应用程序。在运行时，所有可执行内存页面都会在加载时检查代码签名，以帮助确保应用程序自安装或上次更新以来没有被修改。

换句话说，iOS用户之所以只愿意从App Store下载软件，是因为iOS用户以牺牲App安全为代价放弃了部分选择权。作为应用审查的一部分，苹果也应该发现这种以“AppLe”为名的钓鱼行为。不要忘记，苹果对应用程序的热更新有着严格的控制。如果苹果的审核不能有效过滤掉恶意钓鱼应用，那还不如直接启用应用侧载，让用户对自己的信息安全负责。

侧面加载真的会变得更糟吗？

早在2022 年，我们就讨论过苹果是否会开放侧载支持。当时的意见主要分为两派。一组认为苹果会在外部压力下开放侧载支持，而另一组则认为苹果会顶住。继续维持自身封闭生态的压力。

支持sideloading的人认为，在全球最高20%收入罚款和欧洲市场威慑的威胁下，苹果肯定会妥协。知情人士认为，苹果CEO库克已公开表示苹果不会支持侧载，侧载将对苹果生态系统的安全产生严重影响。

彭博社记者Mark Gurman 声称收到内幕消息，苹果将在iOS 17 中首次允许iPhone 用户在App Store 之外下载和安装应用程序。

当然，是否允许用户随意下载，或者是否需要通过苹果认证的第三方渠道下载，目前还不清楚。不过从实际结果来看，苹果开放sideloading功能应该是板上钉钉的事情，至少在欧洲市场是这样。启用此功能。

此消息传出后，不少网友好奇苹果为何屈服，苹果真的愿意毁掉自己经营多年的封闭生态吗？与此同时，不少网友直言：“支持侧载的iOS和Android有什么区别？看看未来谁会买苹果。”

在我看来，大多数苹果用户其实都可以归为“传统用户”。他们不会去摆弄系统的各种配置，也不会不厌其烦地比较手机的各种参数。他们对手机的唯一要求就是“流畅”、“好用”。

对于大多数用户来说，App Store仍然是他们的最佳选择。无需担心App中被植入恶意代码或被未知软件捆绑。即使是一向以开放着称的安卓手机，也有不少用户选择只从应用商店下载应用。只有当他们在应用商店找不到时，才会转向该应用的官网下载。

从用户角度来说，iOS支持sideloading功能，这也是将选择权归还给用户的体现，让用户自己做选择，而不是替用户做选择。苹果可能会逐渐转向另一条路。在我看来，这条道路的未来并不是固定的。对于苹果生态的发展是好是坏，取决于苹果如何处理sideloading和App Store的关系。

当然，对于苹果来说，侧载功能肯定会影响他们的收入。毕竟，有很多应用程序无法忍受苹果30%的应用程序税，并且拥有一批忠实的粉丝。

从苹果的角度来看，自然没有对策。退出App Store系统并选择侧载意味着该App将彻底失去在App Store中推广的权利，在可预见的将来App Store仍将被iPhone用户使用。承载着iOS生态大部分流量的最大下载平台，失去了App Store的推广。大多数应用程序可能会面临下载量下降、用户数量下降等问题。

但对于我们作为用户来说，这些问题其实都无关紧要。无论严格限制，还是开放侧载，用户自然会用脚投票，谁能保证用户信息的安全。