首页@恒行3注册-平台登录首页
  • 恒行3注册
  • 恒行3登录
  • 恒行3招商
    • 文章正文
    iPhone惊天漏洞!苹果双重验证也挡不住盗刷
    作者:admin 发布于:2024-01-31 13:44 文字:【 】【 】【
    摘要:就在这两天,程序员社区 V2EX 爆出来一个苹果 iPhone 的重大漏洞: 所谓的双重验证,英文简写为 2FA,是使用两种不同的元素,合并在一起,来确认用户的身份。例如使用网上银行时,不

      就在这两天,程序员社区 V2EX 爆出来一个苹果 iPhone 的重大漏洞:

      所谓的双重验证,英文简写为 2FA,是使用两种不同的元素,合并在一起,来确认用户的身份。例如使用网上银行时,不仅要输入密码,还要另外输入 手机验证短信 PIN 码,确认之后才能使用转账等功能。

      双重验证是最近十多年来用于验证用户身份的一个主流方式,一般来说黑客可能盗走你的银行卡密码,但是它很难盗走你的手机卡,所以安全度还是很高的。

      不过,有 V2EX 的老哥前天发帖表示,自己丈母娘的 iPhone 开启了双重认证,但还是被恶意 App 盗刷了一万六。

      这位老哥表示,自己丈母娘曾经在某 App 购买虚拟商品,因此她的 App Store 绑定了微信免密支付。

      在 7 月 12 日晚间,丈母娘的手机突然被抹掉了资料,变成出厂设置的状态,老哥以为是苹果系统问题,开始给她重新设置。但是在设置过程中,手机陆续收到了短信通知,发现一些短信有银行、支付等字样。

      老哥反应很快啊,啪的一下就开始联系银行和微信冻结账户。然而就在短短十几分钟内, Apple Store 里就已经产生了二十多笔交易,银行卡被盗刷了一万六千元。

      老哥经过排查后发现,前一天丈母娘下载了一个叫“菜谱大全”的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号邮箱就会泄露:

      一般 iOS 设备安装 App 时如果出现人脸识别失败,就会弹出这个密码输入框,丈母娘也没多想,就把自己 Apple ID 的密码给输入进去了。

      按道理讲,在开启了双重认证的情况下,除非丈母娘主动输入验证码,否则即便对方拿到了 Apple ID 的账号密码,应该也无法登录才对。但是对方在没有二次验证 PIN 码的情况下,依然能够登陆丈母娘的 Apple ID 并盗刷,完全突破的苹果的双重验证的限制。

      但是呢,开发这个恶意 App 的黑产人员不仅登陆了丈母娘的 Apple ID,还给绑上了自己的手机号,目的就是为了后续的登录可以通过自己手机号认证和登陆:

      到了这个时候,双重认证实际就已经失效了,黑产人员可以用自己的手机号来接收短信和登陆账号,完全掌握了这个 Apple ID 了。

      不过黑产人员并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个小号,由这个小号购买 App 中的虚拟商品,然后让丈母娘的账号付款,丈母娘账号就成了“提款机”,从而实现盗刷。

      虽然这位老哥已经报警了,不过老哥和苹果官方客服的 Battle 暂时还处于失利阶段,苹果客服拒绝退款:

      这位老哥把自己丈母娘的经历放到了 V2EX 上,一群程序员一边高呼“这不可能啊”一边开始研究这个 App,最后还是被多位大佬发现了恶意 App 的秘密套路。

      正常的 iOS 密码验证弹窗,应该是“Apple ID”,而这个弹窗是“AppLeID”,明显是伪造的。

      经过其他程序员老哥的核实,这个是恶意软件内置的 WebView 控件,这个隐藏的控件有两个作用,一个是伪装成 Apple ID 的密码验证界面,诱导受骗者输入自己 Apple ID 的密码;另一个作用就是拉起苹果官方的 Apple ID 设置页面,通过人脸识别 + 密码,把黑产人员的手机号添加进受骗者的 Apple ID 之中。

      而这套操作的关键点,就是利用苹果 iOS 里的一个“逻辑漏洞”:当前手机如果是 Apple ID 此前验证过的可信设备,那么就不需要输入二次验证的 PIN 码,人脸识别验证一下就可以拿到最高权限了。

      而这个 WebView 控件可能也具备某种遮盖功能,把苹果人脸识别的动画给挡住了,而被骗的丈母娘此时正盯着屏幕,人脸识别就在她不知情的状态下完成了。

      有网友复现了恶意 App 的操作,发现在苹果的身份验证页面,登陆后扫完面容,没有双重验证就登陆了。

      这个时候,就有IT之家网友质疑了:为什么苹果能够让这种诈骗 App 上架的,这是咋审核的?

      博主 @BugOS 技术组在拆解这款恶意 App 的时候就表示,如果 App 在递送苹果审核时搞“阴阳版本”,也就是面对审核员一个样式,面对用户一个样式,那是根本审核不出来的。

      同时,他也表示,这个黑产钓鱼套路实在做的太隐蔽和难以防范了,哪怕是不太懂数码的年轻人也很容易中招。

      不过,浪歌在查找这款恶意 App 的相关资料时,就发现早在半年前,就有网友在这款恶意 App 的评论区中称遭到了盗刷账户钱包。

      也有IT之家网友表示,在可信任设备上不需要验证码就能修改双重验证,苹果的锅没跑了。

      归根到底,现在黑产人员无所不用其极,任何一个 Bug 或者逻辑漏洞,都能被犯罪分子耍出花来。

      当然有的,有IT之家老哥就表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,不能退的就是苹果官方的验证,能退出的就是诈骗 App。

      另外,浪歌这里也贡献一个自己常年使用的办法:不给 Apple ID 绑定任何支付渠道,需要通过 Apple ID 购买软件,支付的时候再去买点卡充值。

      V2EX - 家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒

      V2EX - 家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒

    相关推荐
  • 纯私人放款10000联系谁?
  • iPhone惊天漏洞!苹果双重验证也挡不住盗刷
  • 从“人工翻译”到“人机共译”生成式AI时代百度如何为翻译留下新注解?
  • 从非洲到加拿大我从英语翻译变成了一名程序员
  • 美方罕见作出保证5大陆城市收到访台邀请蔡英文当局气急败坏
  • 25招生 复旦大学2025MBA提前面试申请流程
  • 如何提高高中英语阅读的准确性总是产生理解偏差一选就错
  • 京都释法 中国涉外刑事辩护实务(四):外国籍当事人的特别权利保护
  • 孩子学英语之前要知道这4点别再用错误的教育方式
  • 联系方式缩写英文翻译
    • 脚注信息
    Copyright © 2027 恒行3注册 TXT地图 HTML地图 XML地图