【图】iPhone苹果手机微信支付、支付宝安全漏洞保护解决方法

iPhone苹果手机微信支付、支付宝安全漏洞保护解决方法

　　在iOS上，一个应用可以将其自身绑定到一个自定义URL Scheme上，该scheme用于从浏览器或其他应用中启动该应用。如果是有用过《Launch Center Pro》和《Workflow》这类App的朋友，应该多少明白URLScheme的原理。

　　在正常的支付流程中，某个App(视频上是美团)首先将订单信息通过URL Scheme发送给支付宝(Alipay)，支付宝收到订单信息，调用支付界面，用户在支付宝tulaoshi.com上完成支付后，支付宝再发送一个URL Scheme给美团，美团收到付款信息后，显示团购成功的界面。

　　在iOS系统中，多个应用程序注册了同一种URLScheme的时候，iOS系统程序的优先级高于第三方开发程序。但是一种URLScheme的注册应用程序都属于第三方开发，那么它们之间就没有优先级了。作者经过测试，证明系统判定优先级顺序与Bundle ID有关(一个Bundle ID对应一个应用)，如果有人精心伪造Bundle ID，iOS就会调用我们App的URL Scheme去接收相应的URL Scheme请求。

　　劫持过程：

　　演示视频中伪装成支付宝的FakeAlipay，在收到美团发来的订单信息后，生成了一个和支付宝一样的登陆界面，用户在输入帐号密码后FakeAlipay 会把帐号密码以及订单信息发送到黑客的服务器上，黑客获得这些信息后可以在自己的iOS设备上完成支付，并把支付成功的URL Scheme信息发回给FakeAlipay，FakeAlipay再把支付成功的URL Scheme信息转发给美团。这样就完成了一次被劫持的支付。

　　作者建议：(参考乌云原文及视频介绍)

　　作者在文章中表示该漏洞利用简单，修复却非常复杂，所以在 iOS 8.2 上还是未能修复。但他还是提出了几点建议让开发者参考：

　　1.苹果可以限制 iOS 应用不能注册别的应用的 Bundle ID 作为 URL Scheme。这样的话，使用自己的 Bundle ID 作为 URL Scheme 的接收器就会变的安全很多。

　　2.第三方应用可以通过①给自己发送 URL Scheme 请求来证明没有被劫持，如果没有收到自己的 URL Scheme，就可以及时给用户发送提醒;②利用 MobileCoreServices 服务中的 applicationsAvailableForHandlingURLScheme() 来查看所有注册了该 URL Schemes 的应用和处理顺序，从而检测自己、或者别人的 URL Scheme 是否被劫持。

　　果粉们只能等待官方新出的版本，更新BUG。

iPhone Home键反应迟钝怎么办

　　很多用户特别是老iPhone用户，用久了就会发现Home键的反应有延时，已经不像刚买回来的时候那么流畅了。双击Home键有时候还调不出后台，都怀疑自己有没有按到。其实这时候Home键就需要校准一下!

　　具体方法：

　　打开任意一款App，按住电源开关几秒钟，直到屏幕出现滑动关机的指示。放开电源键但不要滑动关机，按压Home键几秒，直到屏幕回到桌面。

　　这样你就已经在系统中重新调整了Home键，可以像以前一样正常地使用了!

　　还可以用这招，用外接电源接上iPhone，按住home键直到语音界面出现后，把外接电源拿掉。Home键马上复活，像刚买的一样灵敏了!

iphone6电池续航低怎么办?8招提升iPhone6电池续航

　　iPhone6 从去年9月份开始发售，不少人第一时间入手iPhone6，如今已过半年了，手机中安装的应用、游戏、储存的相片和音乐也开始挤压不断减少的电池容量和续航力。就算是电池容量更大的iPhone6 Plus ，电量也在慢慢变得不够用，难道又要拿出手机电池神器充电宝了吗?

　　Tulaoshi.com事实上，提升iPhone6电池续航 的方法有很多，只要在使用过程中多加注意，基本可以告别充电宝。

　　　1、避开极端温度

　　在任何情况之下，手机和其他装置都不能在极端的环境之下使用，苹果官方指出16℃-22℃是最理想适用温度范围，暴露在高于35℃的环境中，手机就算有没有充电，电池蓄电量都会有永久损害;如果在0℃以下的环境，电池续航力也会短暂缩短，如果温度回到正常范围，效能也会回复正常。

　　2、充电时不要带套

　　虽然10个人有9.9999个人都忽略了这个心法，但是如果手机充电时没有卸除保护套，特别是厚重而且难以散热的，可能出现过热的现象，如果发现手机过热，请将手机从保护套取出。

　　3. 长时间存放请先充电

　　长时间存放装置之前，就算是放一晚，请先充电至50%左右，原因是环境温度以及电池关机存取前的充电百份比会影响电池的健全状态。如果充满电之下长期摆放，电池是会自动放电，最终会令电池续航力缩短，如果电池完全没电，就会进入深度放电状态，再也不能从USB装置充电了。同时，每6个月应该充一次电。

　　当然如果要长期存放，不要忘了关机。

　　4、更新到最新的系统版本

　　如果没有必要的原因，iOS请从速更新，原因是部分更新会针对iOS装置进行优化，这对电池续航力有一点的优化。

　　5、调整屏幕亮度

　　iPhone6耗电的元凶之一便是那4.7寸的显示屏，你可以在设置中选择显示与亮度，启动自动亮度调节或者手动调整屏幕亮度。

　　6、尽量使用WiFi

　　苹果官方指出，WiFi连线所使用的电力比使用移动网络来得少，因此如果有WiFi的话就连上，苹果可以设定App的WiFI登入热点。

　　7、关闭部分活动设定

　　除了屏幕亮度和WiFi之外，还有一些设定可以关闭以节省电力，例如在设定App的一般，关闭背景App重新整理，以及在设定App选择邮件、通讯录、日历设定获取新数据的间隔。另外在设定App的隐私选项之中，进入定位服务之中关闭定位服务，在通知选项的特定应用程式之中，关闭允许通知。

　　8、飞行模式最终救你一命

　　苹果官方也提及飞行模式可以节省电力，提高电池续航力，苹果特别提及无行动数据覆盖与低讯号区域的时候，你的iPhone会不断搜寻讯号，影响你的电池续航力，当你无需接打电话及使用移动网络上网时，开启飞行模式也是省电的方法之一。

　　以上就是8招提升iPhone6电池续航方法介绍，希望能对大家有所帮助!

苹果官网iPhone 6S谍照

　　近日，苹果官网出现一组神秘的新款iPhone照片，很多媒体猜测这是iPhone 6S，大家怎么看呢?

　　看到这个疑似苹果官网发布了关于新一代iPhone的宣传图，不少人都惊呆了：难道下一代的iPhone不叫6s，将会和苹果表有着类似的命名，叫Apple Phone?

　　其实，这是意大利设计工作室ADR studio设计的下一代苹果手机的概念图。另外ADR studio还大胆地断言下一代的iPhone不叫6s叫Apple Phone !

　　但认真一看，实在是有点丑啊，为啥要在机身的侧边集成上Apple Watch的数位旋钮?人家Apple Watch因为屏幕太小才需要这个数位旋钮来提高操作性，你这个大屏手机加上这个按钮岂不画蛇添足?

　　ADRStudio还认为这样的数位按钮还应该加上传感器。咦，看设计似乎是把指纹识别集成到侧边上了。

　　看了一下5.5寸的Apple Phone的正面，似乎是验证了这一说法，因为www.Tulaoshi.com正面的Home键已经没有了，取而代之的是三个传感器小孔。

　　ADRStudio表示Apple Phone有着更薄的设计，至少之前6的激凸摄像头在新iPhone已经不再突出了。款式上延续6的黑白金三种配色。

　　除了侧边的数位旋钮的指纹识别这个创新设计，正面的三个传感器小孔也有更多的手势操作等你来折腾哦。

为何未开封的iPhone6 Plus帐号被盗原理大揭秘

　　此前网络出现过多起明明iPhone在自己手里，里收到帐号被盗的通知的事件，为什么会发生的这样的事了，不法之徒是如何盗取用户的帐号以及序列号，哪些iPhone今年不能轻易向人泄露的，如何避免之样的悲剧发生在自己身上，来看看下文吧。

　　被盗经过

　　一天刚下班，一女同事突然来电话说自己未拆封的苹果iPhone6 Plus被盗了，其实也不是被盗而是被人远程锁了，一番安慰和了解后，整件事情的经过是这样的，黎小姐(该女同事)去年底通过海购从日本苹果官网购买了一台iPhone6 Plus，但到手前已经改变主意买了一台国行iPhone 6，于是今年一月份就放在网上出售，但手机一直在黎小姐手上未拆封，由于春节前各种工作繁忙，直至最近这台尘封已久的日版iPhone6 Plus终于在网上转手售出，不料买家今天拿到手机后尝试激活手机失败，并提醒该手机已经被绑定到一个不认识的Apple ID上。并收到一条来自所有者的信息：扣扣2840******。

　　iPhone绑定Apple ID有什么作用?

　　iPhone被盗一直困扰着用户以及苹果公司，苹果公司先是推Find My iPhone的功能，让人可以实时对自己已经开启了Find My iPhone功能的iOS设备(包括iPhone、iPad、iPod touch等)进行定位。而在iOS7上，苹果把防盗手段上升，用户可以把自己的Apple ID与iOS设备进行绑定，经绑定后的设备在重新激活时必须要输入对应的Apple ID账号和密码才能完成，用户也可以对绑定的iOS设备进行远程锁定以及资料擦除。

　　这意味着如果你没有对应的Apple ID账号和密码，一台被盗的iPhone将无法以原好整机的形式进行二次销售，只能拆解按零部件来销售，或者进行硬件层面的暴力破解。

　　经过再三确认以下这个关键信息点：机器从日本苹果官网购买，通过靠谱第三方转运公司快递到手，到手时检查过未拆封(为苹果原装包装，非后封)，手机直至快递寄出为止一直在手中未拆封。

　　后果笔者在苹果官网保修页面(点击进入)查询序列号保修信息发现该手机已经在今年1月12日被激活(保修有限期到2016年1月11日)，并且被人绑定到一个Apple ID上。笔者作为一名多年的果粉，对于此事还是第一次听说。

　　iPhone在丢失模式下收到了所有者的信息

　　真相源于克隆手机

　　思前想后，笔者只想到克隆iPhone这种可能性，但这台iPhone一直在黎小姐手上，是什么时候又是如何被克隆的呢?最后经过了解，黎小姐回想起一件事情，今年1月初时曾经有一个买家A以查询激活和保修情况为由要求黎小姐提供手机的序列号和IMEI码，黎小姐心想手机在自己手中，应该不会有问题，于是就不以为然提供过去，最后买家A以借口没有购买这台iPhone。

　　买家A最后没完成购买

　　真相似乎已经很清楚了，应该就是这个买家A拿到这台未激活iPhone的序列号以及IMEI码后，进行克隆，并激活和绑定Apple ID，就这样，虽然手机仍然在你手中，但其实已经被盗了，因为你无法把它激活使用。

　　苹果iOS设备激活的原理介绍

　　如何克隆iPhone?

　　克隆iPhone就是把一台iPhone上的序列号和IMEI码等写入到另外一台iPhone上，这种克隆的技术最先是一些不法的商家想要把原来的有锁版手机通过修改序列号、IMEI码等操作后，变成无锁的港版机器，并且这克隆可以苹果官网上查询保修售后信息，容易欺骗一般消费者，不法商家将这些克隆机器以港版的价格售出，以赚取差价，而目前国内将序列号、IMEI码写入到一台iPhone的费用大概是200元左右。

　　而这种克隆出来的iPhone也被行内人士称为妖机，鉴别克隆机的方法就是刷机或升级固件时会出现3194的报错，所以大家在购买手机(特别是二手机器)时不妨通过刷机或者升级固件的方法来检查是否为克隆机。

　　如何解决?

　　回到黎小姐的iPhone6 Plus身上，如何才能将这台iPhone解除绑定激活使用呢?目前已知的方法有三种：

　　第一种：通知与苹果公司进行邮件申诉，并提供相应的购买凭证，如发票等证据，苹果公司审核通过后会把绑定解除;这种方法的基本是免费，但你要有相应的购买凭证，你还得花费时间和心思与苹果客服进行沟通;

　　第二种：肉随砧板上只能自认倒霉，与QQ(扣扣)联系看要多少钱才能进行解锁，相信很多之前遇到这种事情的朋友都是这样解决的;

　　第三种：上X宝找商家帮忙解锁，目前有少数商家提供远程解锁服务，不用把手机寄过去即可，解锁是永久的，收费几百到一千元不等。但并非所有手机都能解开，同时也有不少人反映会有以解锁为诱来骗钱，具体是以使用QQ作为沟通工具，然后先让消费者确认到货，骗子收到钱后不认账等，一些心急的消费者容易上当。

　　黎小姐放弃向苹果公司申诉的办法，因为太过于麻烦，费时也比较长，同时也不愿意与盗取手机的小偷联系，不想助长这种歪风。在X宝上找了商家来解决，最后花了600元(原价是1000元)后，X宝商家当晚就成功把手机解锁，事件也就此结束。

　　有人会问为什么不报警抓买家A?首先我们后来查到买家A在X宝上的个人信息(电话和地址)也是假的;其次我们没办法证明手机的序列号和IMEI码等就是从他那流出的;最后由于这台iPhone是日版的，不是国内运营商的合约机，没办法报警后让运营商处理。

　　这里有一个很大的问题就是X宝商家如何实现远程解锁?可能性一：在苹果内部有人可以后台操作进行解锁;可能性二：真的存在所谓的黑技术可以实现解锁，但笔者这可能性不高;可能性三：与克隆iPhone的人是同一个犯罪团伙的;

　　苹果漏洞分析：

　　对克隆iPhone的存在早已经不是什么秘密，而且已经形成相当成熟的产业，原来克隆iPhone只是用于翻新或者解锁国外的合约机，但这次竟然有骗子用于间接盗取iPhone的非法行为上，可想而知苹果对于iOS设备的激活漏洞已经并非短期的事情，同时这也时刻威胁着众多iPhone用户的财产安全，去年iCloud上出在的好莱坞艳照门已经为苹果服务器的安全性敲起了警钟。

　　笔者不相信苹果公司没有收到与本文类似的用户申诉情况，更加不相信苹果不知道克隆iPhone的存在，是为什么不在苹果服务器层面把漏洞堵上呢?是否不关乎自身销量以及利润就可以无视一般的安全和权益呢?iPhone手机每年的销量上亿台，苹果应该对消费者负责任，而不是只顾赚钱。

　　如果你正在使用或者计划购买苹果iPhone等iOS系统设备，应该如何才能防止自己的iPhone被克隆，笔者总结了以下几个要点：

　　第一点：最好通过官方渠道购买，第三方特别是淘宝的商家有可能存有猫腻，一是之前常听到的偷换配件，二是可能把你手机的序列号和IMEI码信息保存下来，以后用于克隆iPhone，特别是一些小白用户尤为危险;

　　第二点：不能把自己iPhone的序列号以及IMEI码等重要信息泄露，大家在买到新iPhone拍照发朋友圈时注意不要把包装盒背面的序列号和IMEI码也发出去。

　　第三点：对于自己的iOS设备应该第一时间进行Apple ID的绑定，并且开启查找我的iPhone功能，这样可以大大降低被别人用Apple ID绑定的风险。很多小白对iPhone并不是十分了解，甚至连Apple ID也没有，只会通过第三方的各种手机助手来安装软件，当你的iPhone在手上使用两三个月后再被人克隆进行远程绑定，想想也是相当可怕的。