苹果这起被钓鱼事件原理和我想的差不多,看到那个界面,再考虑到没有跳出两次验证窗口就察觉到应该是后台拉起一个本机快捷登录官网ID页面的网页了。。。
现在经过众多大佬的复现,基本已经确定这件事的逻辑漏洞原理了,一般来讲本机通过Safari快捷登陆官网ID页面是不需要两步验证的,骗子APP前台弹窗是快捷登录官网的验证窗口,通过后就在后台已经登陆ID了。之后骗子APP再将他自己的手机号加入到账好的安全号码中,此部分操作需要验证密码,此时APP前台再次弹窗来骗取用户密码。一旦用户以为是Face ID失败弹出的验证窗口并输入密码后,此APP后台就会将自己的手机号加入安全号码中,此后需要两步验证的时候就可以直接通过他自己的手机号来验证了!由此也就得到了被骗Apple ID的全部权限!
这是逻辑方面的漏洞,要么敏感操作需要再次在另一台安全设备上进行两次验证,要么本机登陆也需要两步验证,要么干脆快捷登录就更严格限制一些,这方面安卓端,Google反而是限制到位了,此骗术在安卓端就行不通了。
现在苹果还没有更新验证策略的时候,大家在App Store上下载来历不明的软件时一定不要轻易输入密码,最好不要轻易登陆验证Face ID!这类弹窗和Apple ID安全登陆的窗口也是不同的!注意分辨!“AppLe密码”已经是骗子最明显的特征了,真的很难注意到[捂脸]
#苹果账号被盗# #数码爱好者#
