iPhone曝重大漏洞 Apple ID開啟雙重驗(yàn)證仍被盜刷

果粉們注意了，7月25日新消息，日前有網(wǎng)友爆料稱，自己丈母娘的iPhone手機(jī)開啟了Apple ID雙重驗(yàn)證，但仍然被釣魚盜刷。該網(wǎng)友稱，事發(fā)7月12日晚，當(dāng)晚23點(diǎn)，丈母娘的iPhone突然被抹掉資料，變成出廠設(shè)置狀態(tài)，在設(shè)置過程中，手機(jī)陸續(xù)收到銀行短信。

趕緊聯(lián)系銀行和微信支付凍結(jié)，凍結(jié)完畢，已經(jīng)產(chǎn)生了20多筆訂單，共計(jì)1.6萬元，趕緊報(bào)警。

該網(wǎng)友分析，基本確定是遇到了釣魚，丈母娘綁定了微信免密支付，7月11日下午，在App Store下載了一個(gè)名叫“菜譜大全”的APP，登錄方式是Apple ID授權(quán)，它會(huì)彈出一個(gè)非常像的密碼輸入框，騙得Apple ID的密碼。

讓該網(wǎng)友詫異的是，全程居然沒有彈出雙重認(rèn)證的彈窗。他找負(fù)責(zé)Apple ID的客服，要求查詢Apple ID被盜的問題，被告知查不到記錄。

對(duì)此，BugOS技術(shù)組稱這一漏洞確實(shí)存在：“我寫了代碼試驗(yàn)，真的不會(huì)彈窗”。

BugOS技術(shù)組還解釋了繞過雙重認(rèn)證的原理：第三方應(yīng)用里邊，開發(fā)商可以打開一個(gè)你看不見的網(wǎng)頁，比如在界面下層放一個(gè)名叫 WKWebView的控件，用其他圖片啊按鈕啊把這個(gè)控件擋住，你就看不到下邊這個(gè)網(wǎng)頁了對(duì)吧。

這個(gè)控件可以訪問任何網(wǎng)頁，而且可以控制網(wǎng)頁上的任何操作，以及獲取網(wǎng)頁上的各種信息。于是開發(fā)商用這個(gè)看不見的控件打開Apple ID設(shè)置網(wǎng)頁，重點(diǎn)來了，如果你的手機(jī)是Apple ID的受信設(shè)備，打開網(wǎng)頁時(shí)是不需要進(jìn)行雙重驗(yàn)證的，只需要掃個(gè)臉就可以順利登錄。

有網(wǎng)友給出應(yīng)對(duì)辦法：

1、Apple ID不綁銀行卡，只綁了支付寶，但每月免密支付有限額；

2、App Store 和 iCloud 登錄的不是同一個(gè) Apple ID；

3、iCloud沒開查找，這玩意是雙刃劍，雖說可以讓你設(shè)備丟失時(shí)及時(shí)鎖定，但反過來萬一ID被盜（或者像圖中這種被添加了受信任號(hào)碼）對(duì)方也可以鎖定和抹除你手中的設(shè)備。