昨日,程序员社区 V2EX出现了一条热门帖子,用户 airycanon称自己家人的 iPhone开启了 Apple ID双重认证,但仍然被钓鱼骗钱了。
据称,其家人在 Apple Store上下载了一个菜谱类 App,采用 Apple ID授权登录,随后该 App弹出了一个密码输入框,输入密码后就被骗取了账号信息,且整个过程中没有出现双重认证弹窗。
根据博主@BugOS技术组的测试,受信设备中的应用拉起隐藏 WebView访问appleid.apple.com无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 App又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。
从整个原理来看,这一方法确实隐蔽且难防,目前尚不清楚苹果何时会修复这一漏洞。博主@BugOS技术组表示,当 iPhone上出现输入 Apple ID密码的窗口时,按 Home键或上划手势尝试退出一下,能退出的都是在诈骗。IT之家小伙伴可以暂时将这一方法作为应对措施。