iPhone被盗刷1万6,丝滑连招防不胜防
每每将 Android 手机与 iPhone 放一起比较,配置与系统总是两个对立的选项。苹果多年来封闭的软件环境和管控确实严格许多,下个App都需要输入密码或者验证人脸。为了尽量减少 App 乱安装、泛滥权限,网上甚至有不少推荐中老年人选择 iPhone 的声音。然而一向把安全、隐私当招牌的 iPhone,却突然翻了个大车,没错,iPhone被盗刷了。
iPhone被盗刷事件
v2ex 论坛用户 @airycanon 发帖称自己丈母娘被钓鱼盗刷了 1万6 。
小蝾第一反应是不是又啥「低级骗术」?毕竟受害主人公确实有点年纪。但事实并没有那么简单,也确实是iPhone安全漏洞的问题。
先来看看其给出的时间线。楼主丈母娘手机突然被抹机,重新设置时收到账单信息,发现已被刷1.6万元。
啊这,被骗钱的同时还被抹机,资料没备份就是双重打击了。不过既然能够被抹机,那必然 Apple ID 被盗了。如果绑定了支付宝/微信免密支付确实可以通过 App Store 把钱刷出去。
iPhone被盗刷背后的逻辑
如何被盗的呢,原因是下载了一款普普通通的菜谱 App 。使用 App 需要登录,和不少 App 一样可以使用 Apple ID 快捷登录,很正常吧?注意!如果你没看出问题,就踩了第一个坑了。
真正的快捷登录界面是这样的,应该是为 xxx 登录而非上面的 apple.com 。如果有 iCloud+ 还应该能够隐藏电子邮件。
这一步如果没有意识到不对,Apple ID被盗也就立马会成为现实。不过拿到了你的 Cookies 乃至密码也还不能把钱刷出去。在非信任设备首次登录还需要通过双重认证。
于是乎,在你完成了第一次登录后,还得再输一次密码。网络问题需要重新输也算是苹果特色了,挺合理吧?
好吧,这界面是假的,不过相信哪怕是年轻人也可能会被这官方样式的界面骗到。AppleID 的L 、登录的陆 …怀疑是在故意筛选目标。这就是第二道坑了,输入密码的操作其实是在完成骗子添加新的双重认证信任号码的确认。
至此,登录你的 Apple ID 、用新的信任号码通过双重认证、拉小号加入家庭共享、消费全流程都通了。顺便抹掉你的手机,也是尽量避免你看到账单信息,有更多盗刷时间。不过为什么在添加信任号码时本机没有弹窗?
鸡贼的是,这一切的操作都是在你自己手机上完成的。该 App 和许多正常 App 一样内置了 Webview(浏览器内核),简单来说有了它就能在 App 内访问网页,像浏览器一样。
苹果的 Webview 也是允许使用本机 Apple ID 账号快捷登录的。而在本机已登录 appleied.apple.com 后,添加信任号码是不需要双重认证的,只要再次输入密码…
看到这里想必大家也明白此次iPhone被盗刷事件的整体逻辑,不得不承认这一套组合技果然高,这次的iPhone安全漏洞属实得Webview的安全策略背锅。苹果引以为傲的安全性就这?
任何 App 其实都可以这样操作致使Apple ID被盗取,并绕过双重认证,真实的网页内容反正可以轻松隐藏。破绽似乎就只有登录对象以及两错别字,防不胜防。
最后在等待苹果修复iPhone安全漏洞的同时,也给大家三条提醒:
任意账号操作都得看清所有信息,哪怕是系统的快捷登录;
App Store 的 App 也不见得就一定安全;
免密支付能关闭就关闭,如果经常用至少也该限额。
总结
吃一堑长一智,在使用APP的时候“睁大眼睛”,就能避免大多数iPhone被盗刷,Apple ID被盗的惨剧发生。也别犯经验主义的毛病,一路点点点然后把手机权限拱手分给了别人。
