iPhone X 诈骗又出新招，看到这样的弹窗要谨慎

当你的 iPhone 出现这样的弹窗时，你的第一反应会是什么？

不少人都会下意识地输入自己 Apple ID 的密码，但仔细想想，如何确保这个弹窗真的是 iOS 系统调用而不是第三方开发者诱导输入密码的行为呢？开发者是存在在自己的应用中设计诱导弹窗盗取用户 Apple ID 和密码的可能性，这样自行设计的弹窗可以做到在显示上与 iOS 官方弹窗完全相同。（图一为 iOS 系统弹窗，图二为开发者自行设计的弹窗）

骗术揭秘

不管哪一代 iOS 系统，都曾向用户展示过这样的输入弹窗，比如在系统升级、 Game Center 登录、应用内付费购买时等。很多用户已经潜意识中相信并会输入账号密码的习惯，因此利用这样的诱导弹窗盗取 Apple ID 账号密码，多数用户可能都会中招。

这类弹窗采用的时 iOS 统一设计规范中的 UIkit-UIAlertController，开发者只需要稍作修改一段简单的代码，就可以实现真假难辨的诱导弹窗。

尽管苹果已经在检测第三方应用安全性上做了大量努力，但近两年苹果一直强调 App Store 应用审核时间大大缩短，这也意味着审核质量在一定程度上发生了变化。更为糟糕的是，这类弹窗完全可以在应用通过 Apple Store 审核后实现，绕开苹果的各种审核手段，例如使用远程代码，定时代码等。

如何防止被诱导输入密码

1.按下 Home 键可以检验是否为系统弹窗。如果是系统弹窗，按下 Home 键，并不会消失；而如果是非系统弹窗，按下 Home 键，则会返回主屏幕。下图弹窗是在 App Store 更新应用时出发的，可以看到，按下「辅助触控」中的 Home 键时，它仍然显示，并没有消失。

可以通过 Home 键检验的弹窗除了 App Store 更新时的弹窗、还包括 iMessage 和 FaceTime 时的弹窗、开启触控 ID 下载应用时的弹窗等。这些弹窗都是由 iOS 系统弹出，脱离任何一个应用以外。

2.输入错误密码。如果是 iOS 系统需要输入 Apple ID 账号和密码，显然输入正确内容才能使操作正常进行，而当输入错误内容甚至不输入内容也能够继续，那么很可能是诱导弹窗。

3.不要再弹窗在输入账号密码。尽量使用触控 ID、面容 ID 等身份认证方式，避免直接在弹窗中输入账号密码。如果一定要输入密码才能够进行的操作，可以通过系统「设置」中进行，可以保证账号密码的安全性。

4.终极保护：双重认证。开启双重认证后，一旦有应用或服务想要访问您的账号时，苹果除了要求输入账号和密码之外，还会给「受信任设备」或「受信任电话号码」发送验证码（功能类似于动态令牌），三项完全正确，才能访问账号。因此，即使诱导弹窗获取了账号和密码，他们也无从得知验证码，在短时间内账户是安全的，可以尽快修改账号密码，以防数据泄露，造成财产损失。

尤其是当下，一个账户对于个人的重要性不言而喻，而又有不少不法分子盯上了 Apple ID，盗取账号，窃取隐私数据，甚至敲诈勒索，给持有者造成巨大损失。所以保护账号安全，是每个用户都应该掌握的必备技巧。