【头部财经】近日,一位网友爆料称其丈母娘的iPhone手机开启了Apple ID双重验证,然而仍然遭遇钓鱼盗刷。据该网友透露,事件发生在7月12日晚上11点左右,手机突然被恢复成出厂设置状态,并且接连收到与银行支付相关的短信。紧急联系银行和微信支付进行冻结,但此时已经发生了20多笔订单,共计1.6万元的损失,网友随后报警。
经过分析,该网友初步判断是受到了钓鱼攻击。在此之前,丈母娘绑定了微信免密支付,并在7月11日下午通过App Store下载了一款名为"菜谱大全"的应用。该应用使用了Apple ID授权作为登录方式,却弹出了一个非常类似的密码输入框,诱使用户输入了Apple ID的密码。令该网友诧异的是,整个过程竟没有出现双重验证的提示。他咨询了苹果公司的客服,希望了解关于被盗用的Apple ID的情况,却被告知没有相关记录。
对此,BugOS技术组确认了该漏洞的存在:“我写了代码试验,真的不会弹窗。”BugOS技术组还解释了绕过双重验证的原理:在第三方应用中,开发商可以在界面底层放置一个名为WKWebView的控件,用其他图片或按钮将其遮挡起来,使用户无法看见底层的网页内容。该控件能够访问任意网页并控制网页上的各种操作,获取其中的各种信息。应用开发商利用这个看不见的控件打开了Apple ID设置网页,关键是,如果你的手机是Apple ID的受信设备,在打开网页时是不需要进行双重验证,只需进行人脸扫描即可顺利登录。
针对此问题,一些网友提出了应对办法:
不绑定银行卡,只绑定支付宝,但需注意每月免密支付的限额;
在App Store和iCloud登录时使用不同的Apple ID;
不开启iCloud的查找功能,虽然该功能可在设备丢失时及时锁定,但反过来,如果Apple ID被盗(或者像报道中的情况被添加受信任的手机号码),对方也可以锁定和擦除用户手中的设备。
京公网安备 11011402013531号