XCodeGhost 可能伪装弹窗骗取 AppleId 和密码

用云音乐时候提示我输入了一次密码，有弹窗，我就输入了。

后来还去看了 itunes 购买记录，没有购买任何东西。

看来我是中枪了。

建议网易聘请我做首席下载师，我可以为你们下载官网的任何软件。

就算木马再神通广大，也没法弹个对话框偷你的 iCloud 密码。。除非他利用了 iOS 的漏洞。
不然随便写个 APP 就能弹对话框偷密码了那还了得

@CRH 是会的，已经有人分析木马源码了 http://weibo.com/p/1001603888503866975286

@dsmo 这篇我看过了，你可以再看看这个 http://www.weibo.com/1446101324/CB8H0rTna
用逻辑想想就知道了……不可能弹个框偷密码的

@CRH iOS 确实有这个漏洞 http://drops.wooyun.org/mobile/4998
这是更详细的介绍 http://appsrv.cse.cuhk.edu.hk/~mzheng/paper/ASIACCS2015IOS.pdf
苹果在 iOS 9 中修复了该漏洞

@5up3r 嗯刚搜到了。。。好吧。看来迷信 iOS 是不对的。
依我看 iOS 压根就应该把 UIAlertViewStyleSecureTextInput ()这类输密码的对话框列为私有 API ，太容易用来钓鱼了

我也总是遇到无缘无故的弹出输入 Apple ID 和密码的输入框，还都以为是 iOS 的，填了好几遍了。。。

木马调用了 APPLE 的认证窗口后，并可以获取用户输入的 ICloud 帐号及密码？
如果真是这样那这个漏洞 APPLE 有一定责任，应该会发出声明或公告吧？

不管怎么说，我还是把密码改了吧，怕被锁定勒索。

@5up3r 有个问题是，这个钓鱼对话框是通过 CFUserNotification 弹出来的，但是这个算 Private API 么？用了 CFUserNotification 的话能通过 App Store 审核么？

如果不能通过审核的话，那就要下载企业版应用才能被钓鱼了。我个人是从来不会下载企业版应用的。

我确实被莫名其妙弹窗要求输入过 apple id 账户密码，而且还是那种反复弹出不知道支付什么的

@lawdoge 同出现，但是只要求输入密码。

我觉得只要输入密码的可能没中招，如果要输入 appleid 和密码的就要注意了，但是也不排除有私有 api 拿到当前登录的 appleid ，至少我不知道有这样的 api 。

@CRH 文章里有介绍。

@lawdoge 开飞行模式就好 了。 我是因为越狱了，内购东西以后才会有这些弹框的

已有人不需要安全问题消费 Apple store 账户余额

这个恶意代码应该来源已久， iOS 7 时候遇到过几次去，还以为是越狱了的关系，但是仔细想一下越狱后直安装了 3 个正规来源的插件， iOS 8 之后这个问题没有，就没再放在心上。

https://github.com/XcodeGhostSource/ 自称是始作俑者

@mckelvin CoreFoundations.m 的最后三个方法才是和财务相关的内容。可以自动下载应用到用户手机上。