iPhone曝重大漏洞 Apple ID開啟雙重驗證仍被盜刷

果粉們注意了，7月25日新消息，日前有網(wǎng)友爆料稱，自己丈母娘的iPhone手機開啟了Apple ID雙重驗證，但仍然被釣魚盜刷。該網(wǎng)友稱，事發(fā)7月12日晚，當晚23點，丈母娘的iPhone突然被抹掉資料，變成出廠設(shè)置狀態(tài)，在設(shè)置過程中，手機陸續(xù)收到銀行短信。

趕緊聯(lián)系銀行和微信支付凍結(jié)，凍結(jié)完畢，已經(jīng)產(chǎn)生了20多筆訂單，共計1.6萬元，趕緊報警。

該網(wǎng)友分析，基本確定是遇到了釣魚，丈母娘綁定了微信免密支付，7月11日下午，在App Store下載了一個名叫“菜譜大全”的APP，登錄方式是Apple ID授權(quán)，它會彈出一個非常像的密碼輸入框，騙得Apple ID的密碼。

讓該網(wǎng)友詫異的是，全程居然沒有彈出雙重認證的彈窗。他找負責Apple ID的客服，要求查詢Apple ID被盜的問題，被告知查不到記錄。

對此，BugOS技術(shù)組稱這一漏洞確實存在：“我寫了代碼試驗，真的不會彈窗”。

BugOS技術(shù)組還解釋了繞過雙重認證的原理：第三方應(yīng)用里邊，開發(fā)商可以打開一個你看不見的網(wǎng)頁，比如在界面下層放一個名叫 WKWebView的控件，用其他圖片啊按鈕啊把這個控件擋住，你就看不到下邊這個網(wǎng)頁了對吧。

這個控件可以訪問任何網(wǎng)頁，而且可以控制網(wǎng)頁上的任何操作，以及獲取網(wǎng)頁上的各種信息。于是開發(fā)商用這個看不見的控件打開Apple ID設(shè)置網(wǎng)頁，重點來了，如果你的手機是Apple ID的受信設(shè)備，打開網(wǎng)頁時是不需要進行雙重驗證的，只需要掃個臉就可以順利登錄。

有網(wǎng)友給出應(yīng)對辦法：

1、Apple ID不綁銀行卡，只綁了支付寶，但每月免密支付有限額；

2、App Store 和 iCloud 登錄的不是同一個 Apple ID；

3、iCloud沒開查找，這玩意是雙刃劍，雖說可以讓你設(shè)備丟失時及時鎖定，但反過來萬一ID被盜（或者像圖中這種被添加了受信任號碼）對方也可以鎖定和抹除你手中的設(shè)備。