IT之家 7 月 25 日消息,昨日,程序員社區(qū) V2EX 出現(xiàn)了一條熱門帖子,用戶 airycanon 稱自己家人的 iPhone 開(kāi)啟了 Apple ID 雙重認(rèn)證,但仍然被釣魚(yú)騙錢了。
據(jù)稱,其家人在 App Store 上下載了一個(gè)菜譜類 App,采用 Apple ID 授權(quán)登錄,隨后該 App 彈出了一個(gè)密碼輸入框,輸入密碼后就被騙取了賬號(hào)信息,且整個(gè)過(guò)程中沒(méi)有出現(xiàn)雙重認(rèn)證彈窗。
根據(jù)博主 @BugOS 技術(shù)組 的測(cè)試,受信設(shè)備中的應(yīng)用拉起隱藏 WebView 訪問(wèn) appleid.apple.com 無(wú)需雙重驗(yàn)證,這一重大漏洞使得用戶掃個(gè)臉即可登錄。該 App 又用假的對(duì)話框騙取密碼,然后將詐騙者的手機(jī)號(hào)加入雙重認(rèn)證的信任號(hào)碼,直接遠(yuǎn)程抹掉設(shè)備,使用戶無(wú)法接收扣款信息,并進(jìn)行盜刷。
從整個(gè)原理來(lái)看,這一方法確實(shí)隱蔽且難防,目前尚不清楚蘋果何時(shí)會(huì)修復(fù)這一漏洞。博主 @BugOS 技術(shù)組 表示,當(dāng) iPhone 上出現(xiàn)輸入 Apple ID 密碼的窗口時(shí),按 Home 鍵或上劃手勢(shì)嘗試退出一下,能退出的都是在詐騙。IT之家小伙伴可以暫時(shí)將這一方法作為應(yīng)對(duì)措施。
廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。