昨日,程式設計師社區 V2EX出現了一條熱門帖子,用戶 airycanon稱自己家人的 iPhone開啟了 Apple ID雙重認證,但仍然被釣魚騙錢了。
據稱,其家人在 Apple Store上下載了一個菜單類 App,採用 Apple ID授權登錄,隨後該 App彈出了一個密碼輸入框,輸入密碼後就被騙取了帳號信息,且整個過程中沒有出現雙重認證彈窗。
根據博主@BugOS技術組的測試,受信設備中的應用拉起隱藏 WebView訪問appleid.apple.com無需雙重驗證,這一重大漏洞使得用戶掃個臉即可登錄。該 App又用假的對話框騙取密碼,然後將詐騙者的手機號加入雙重認證的信任號碼,直接遠程抹掉設備,使用戶無法接收扣款信息,並進行盜刷。
從整個原理來看,這一方法確實隱蔽且難防,目前尚不清楚蘋果何時會修復這一漏洞。博主@BugOS技術組表示,當 iPhone上出現輸入 Apple ID密碼的窗口時,按 Home鍵或上劃手勢嘗試退出一下,能退出的都是在詐騙。IT之家小夥伴可以暫時將這一方法作為應對措施。
