iPhone 重大漏洞曝光: 开了双重认证,仍然被钓鱼
在 V2EX 社区有用户 airycanon 表示自己家人的 iPhone 开启了 Apple ID 双重认证,但仍然被钓鱼骗钱了。
7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露。
接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招。
有了 Apple ID 的账号和密码,就可以登录了,其中没有见过双重认证的弹窗。登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证。
接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品。
另外这位网友尝试退款,在 Apple 400 客服尝试了多种方式,最终都失败了。目前还能尝试的方式包括有:打 12315 反馈、起诉苹果、举报中心投诉。
技术测试
博主 @BugOS 技术组 的测试,受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。
该 App 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。
博主 @BugOS 技术组 表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,能退出的都是在诈骗。
目前不知道苹果什么时候会修复这个漏洞,同时有网友给出应对办法:
Apple ID 不绑银行卡,只绑了支付宝,但每月免密支付有限额;
App Store 和 iCloud 登录的不是同一个 Apple ID;
iCloud 没开查找,这玩意是双刃剑,虽说可以让你设备丢失时及时锁定,但反过来万一 ID 被盗(或者像图中这种被添加了受信任号码)对方也可以锁定和抹除你手中的设备。
MORE最近更新 & 相关文章
软件合集:https://docs.qq.com/sheet/DUGpUdEZ3WmZFZndQ