通信人家园

标题: 苹果iPhone曝重大漏洞:Apple ID开启双重验证仍被盗刷  [查看完整版帖子] [打印本页]
时间:  2023-7-25 11:18
作者: PH值     标题: 苹果iPhone曝重大漏洞:Apple ID开启双重验证仍被盗刷

出处:快科技
7月25日消息,有网友爆料称,自己丈母娘的iPhone手机开启了Apple ID双重验证,但仍然被钓鱼盗刷。

该网友称,事发7月12日晚,当晚23点,丈母娘的iPhone突然被抹掉资料,变成出厂设置状态,在设置过程中,手机陆续收到银行短信。

赶紧联系银行和微信支付冻结,冻结完毕,已经产生了20多笔订单,共计1.6万元,赶紧报警。

s_19fbb68d73a6461881d34d983f6a8d8a.jpg

该网友分析,基本确定是遇到了钓鱼,丈母娘绑定了微信免密支付,7月11日下午,在App Store下载了一个名叫“菜谱大全”的APP,登录方式是Apple ID授权,它会弹出一个非常像的密码输入框,骗得Apple ID的密码。

让该网友诧异的是,全程居然没有弹出双重认证的弹窗。他找负责Apple ID的客服,要求查询Apple ID被盗的问题,被告知查不到记录。

s_28ab0389f6a744b185815f314ec57256.jpg

对此,BugOS技术组称这一漏洞确实存在:“我写了代码试验,真的不会弹窗”。

BugOS技术组还解释了绕过双重认证的原理:第三方应用里边,开发商可以打开一个你看不见的网页,比如在界面下层放一个名叫 WKWebView的控件,用其他图片啊按钮啊把这个控件挡住,你就看不到下边这个网页了对吧。这个控件可以访问任何网页,而且可以控制网页上的任何操作,以及获取网页上的各种信息。于是开发商用这个看不见的控件打开Apple ID设置网页,重点来了,如果你的手机是Apple ID的受信设备,打开网页时是不需要进行双重验证的,只需要扫个脸就可以顺利登录。

s_658d5063329d430586a4a7f08669ab63.png

有网友给出应对办法:

1、Apple ID不绑银行卡,只绑了支付宝,但每月免密支付有限额;
2、App Store 和 iCloud 登录的不是同一个 Apple ID;
3、iCloud没开查找,这玩意是双刃剑,虽说可以让你设备丢失时及时锁定,但反过来万一ID被盗(或者像图中这种被添加了受信任号码)对方也可以锁定和抹除你手中的设备。







附件: s_19fbb68d73a6461881d34d983f6a8d8a.jpg (2023-7-25 11:17, 128.58 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NTg4MjU3fDlhZTJjODFlfDE3NTQ0NDI3NTB8MHww

附件: s_28ab0389f6a744b185815f314ec57256.jpg (2023-7-25 11:17, 1.5 MB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NTg4MjU4fDMyZTg1YWUxfDE3NTQ0NDI3NTB8MHww

附件: s_658d5063329d430586a4a7f08669ab63.png (2023-7-25 11:17, 178.36 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NTg4MjU5fDY3NDc4YmJhfDE3NTQ0NDI3NTB8MHww
时间:  2023-7-25 12:40
作者: 深圳普通用户

假新闻。
就算他有你的apple ID 和密码,登录新设备的时候需要旧设备或手机确认的,他们无法绕过这个安全机制。
时间:  2023-7-25 15:53
作者: haobian

251又要发布新机了吗
时间:  2023-7-25 15:58
作者: hdx2012

本帖最后由 hdx2012 于 2023-7-25 16:03 编辑
深圳普通用户 发表于 2023-7-25 12:40
假新闻。
就算他有你的apple ID 和密码,登录新设备的时候需要旧设备或手机确认的,他们无法绕过这个安全机 ...


哈哈哈,又是你,看完了人家怎么绕过的没。真就一点技术都不懂啊。v2ex已经有苹果开发者测试了确实可以绕过。结果你就说假的,不愧是你。还必须双重认证,人家都把自己号码加入信任号码了哈哈哈
不愧是你,没过几天就有乐子
另外开发技术组还对这个app后台进行了爆破。所以app暂时没用了。
没事记得扒原贴,不要你觉得不对就张嘴就来。另外好像对你说也没用。乐子人看乐子就行了哈哈哈
时间:  2023-7-25 17:20
作者: 电信十年老用户

有点绕。我苹果id没有绑定银行卡。
时间:  2023-7-25 20:36
作者: 左睡

我说苹果为啥紧急更新16.6
时间:  2023-7-25 22:10
作者: luchuanbaker

这么说吧,可能是别的国家盗号诈骗案件少,导致iOS的安全性连微信支付宝都不如。。。



通信人家园 (https://www.txrjy.com/) Powered by C114