近日程序员社区 V2EX 出现了一条帖子,引发众多用户关注。用户 airycanon 表示,自己家人的 iPhone 上已经开启了 Apple ID 双重认证,但仍然遇到了被钓鱼骗钱的情况。
据称,用户在 App Store 上下载了一个菜谱类 App,该应用提示采用 Apple ID 授权登录,随后该 App 弹出了一个密码输入框,根据提示输入密码后就被骗取了账号信息,且整个过程中没有出现双重认证弹窗。
根据博主 @BugOS 技术组 的测试,受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,通过面容 ID 验证即可。
开发商直接在帐号中添加新的手机号,这一步是需要密码的,App 用假的对话框来骗取用户 Apple ID 密码,然后就拥有了 Apple ID 权限,通过远程抹掉设备的手法,来让用户无法接受扣款信息,并进行盗刷。
整体看来,这一情况确实隐蔽且难防,目前尚不清楚苹果何时会修复这一漏洞。
博主 @BugOS 技术组 表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,能退出的都是在诈骗,此时不要输入任何帐户和密码。在苹果官方修复该问题之前,可以暂时用这个方法进行检测。