7月25日消息,有網友爆料稱,自己丈母娘的iPhone手機開啟了Apple ID雙重驗證,但仍然被釣魚盜刷。
該網友稱,事發7月12日晚,當晚23點,丈母娘的iPhone突然被抹掉資料,變成出廠設置狀態,在設置過程中,手機陸續收到銀行短信。
趕緊聯系銀行和微信支付凍結,凍結完畢,已經產生了20多筆訂單,共計1.6萬元,趕緊報警。
該網友分析,基本確定是遇到了釣魚,丈母娘綁定了微信免密支付,7月11日下午,在App Store下載了一個名叫“菜譜大全”的APP,登錄方式是Apple ID授權,它會彈出一個非常像的密碼輸入框,騙得Apple ID的密碼。
讓該網友詫異的是,全程居然沒有彈出雙重認證的彈窗。他找負責Apple ID的客服,要求查詢Apple ID被盜的問題,被告知查不到記錄。
對此,BugOS技術組稱這一漏洞確實存在:“我寫了代碼試驗,真的不會彈窗”。
BugOS技術組還解釋了繞過雙重認證的原理:第三方應用里邊,開發商可以打開一個你看不見的網頁,比如在界面下層放一個名叫 WKWebView的控件,用其他圖片啊按鈕啊把這個控件擋住,你就看不到下邊這個網頁了對吧。這個控件可以訪問任何網頁,而且可以控制網頁上的任何操作,以及獲取網頁上的各種信息。于是開發商用這個看不見的控件打開Apple ID設置網頁,重點來了,如果你的手機是Apple ID的受信設備,打開網頁時是不需要進行雙重驗證的,只需要掃個臉就可以順利登錄。
有網友給出應對辦法:
1、Apple ID不綁銀行卡,只綁了支付寶,但每月免密支付有限額;
2、App Store 和 iCloud 登錄的不是同一個 Apple ID;
3、iCloud沒開查找,這玩意是雙刃劍,雖說可以讓你設備丟失時及時鎖定,但反過來萬一ID被盜(或者像圖中這種被添加了受信任號碼)對方也可以鎖定和抹除你手中的設備。
【來源:IT之家】
