惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Privacy International News Feed
V
Vulnerabilities – Threatpost
The Last Watchdog
The Last Watchdog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
O
OpenAI News
T
Threat Research - Cisco Blogs
WordPress大学
WordPress大学
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
P
Palo Alto Networks Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
H
Help Net Security
P
Proofpoint News Feed
MyScale Blog
MyScale Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
T
The Blog of Author Tim Ferriss
H
Hackread – Cybersecurity News, Data Breaches, AI and More
S
Securelist
Vercel News
Vercel News
S
Security Affairs
D
Darknet – Hacking Tools, Hacker News & Cyber Security
B
Blog RSS Feed
云风的 BLOG
云风的 BLOG
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
Blog — PlanetScale
Blog — PlanetScale
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Last Week in AI
Last Week in AI
博客园_首页
Attack and Defense Labs
Attack and Defense Labs
G
Google Developers Blog
T
Tor Project blog
Project Zero
Project Zero
腾讯CDC
Schneier on Security
Schneier on Security
月光博客
月光博客
N
Netflix TechBlog - Medium
AWS News Blog
AWS News Blog
L
LINUX DO - 最新话题
P
Proofpoint News Feed
博客园 - 司徒正美
A
About on SuperTechFans
Latest news
Latest news
Scott Helme
Scott Helme
Hacker News: Ask HN
Hacker News: Ask HN
T
Threatpost
Hacker News - Newest:
Hacker News - Newest: "LLM"
C
CERT Recently Published Vulnerability Notes
Google DeepMind News
Google DeepMind News
博客园 - 聂微东

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
iPhone这个大漏洞,让人打开App就被盗刷一万五
差评 · 2023-07-26 · via 人人都是产品经理

就在近日,有网友在社交平台上分享了自己亲人被 App Store 应用商店里的 “骗子 App” 骗走了一万五千元的事情,而这则消息也引发了网友们的热切讨论。那么,造成这起事件发生的背后原因有哪些?一起来看看作者的分析。

众所周知,苹果一直在宣传自己的安全、隐私、可控。

而且在过去,它也足够的安全。

但世界上也没有绝对坚固的墙,大家也别因为这样,就彻底放松警惕。

因为昨天,它就翻车了。

事情是这样的,一个网友的丈母娘被 App Store 应用商店里的 “骗子 App” 骗走了一万五千元。

直到目前,他们被盗刷的钱都没能追回。

而我在复盘完事情的完整经过之后发现,其中两个重要环节,都是苹果出现了问题。

但凡苹果在这两个环节中的任何一个环节有安全措施,也不至于让骗子得逞。

先跟大家聊聊大概发生了什么事吧,大家可以先看看原博主 airycanon 描述的事情经过~

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

简单来说,就是 airycanon 的丈母娘从 AppStore 应用商店里下载了一个菜谱 App。

但是这个 App 本身有问题,打开 App 之后,首先会弹出一个 Apple 账号登录界面。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

用过 iPhone 的小伙伴都知道,不少 App 都支持使用苹果账号一键注册登录,就像微信小程序一键登录一样。

所以这一步看起来是合理的。

但其实,真正的苹果一键登录界面,是这个样子的:

大家可以上下对比看看。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

菜谱 App 弹出的那个“假登录界面”,其实也是有用的,它在后台已经完成了一次苹果账号登录。

至于有什么用途,我们放到后面再说。

登录弹窗之后,这个 App 又弹出一个仿照系统界面设计的密码输入界面。

因为长得和安装应用时候的密码验证界面很像,手机用的不那么灵光的老人还是很容易中招的。

App“L”eID……

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

自此,骗子就搞到了受害者 iPhone 的账号和密码。

假如用户给苹果账号绑定了支付方式 —— 就比如 airycanon 的丈母娘绑定了微信免密支付……

那骗子就可以开始盗号刷刷刷了。

u1s1,这个骗子绝对是个惯犯。他为了避免受害人收到短信交易提醒,盗刷之前甚至还利用查找 iPhone 远程把受害者的手机给重置恢复出厂设置了。。。

这要是没用 iCloud 备份相册的人,不得气疯了……

真·砂仁猪心。

OK,事情大概就是这么一回事,讲道理,看完之后我整个人就是一个大写的懵。

首先,我倒是理解这种骗人 App 能堂而皇之在苹果官方 App Store 上架。

因为骗过苹果商店审核的操作在业内根本不算什么秘密。

马甲包、同 ID 双版本、幸运按钮……黑产总有办法。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

比如我也在 App Store 里下载了几个菜谱大全,他们倒是没有盗我的密码,但是点开以后也都不是菜谱。

而是一个个关不掉的强制弹窗,“ 帮 ” 我开各种彩铃包、权益合约包……

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

难得遇到了一个正经菜谱 App,结果刚看了两个菜,就要收我 28……

不对,是每周 28 块钱……

我估计正经厨房类 App 的产品经理们都得看傻了:同行们黑心钱都这么好赚的吗?

“非强制消费”:

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

但是,就算 App 能通过钓鱼的方式骗到受害者苹果账户的密码,但是苹果本身是有 “两步验证 ” 机制的呀?

在登录新设备或者浏览器的时候,除了输入密码,苹果还会要求输入一个短信验证码。

而且 airycanon 也在帖子里说明了,他丈母娘的 Apple ID 已经开启了两步验证。

但是他们自始至终没有收到苹果的验证码。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

这时候他发现,丈母娘账号的两步验证设置里,多出来了一个从来没见过的境外号码。

怪不得自己手机上没有验证码了,因为接收验证码的手机已经变成骗子的手机了。

考虑到设置两步验证是一个挺复杂的操作、即使手把手跟丈母娘说都不一定能设置成功。

那这个号码只能是骗子偷偷添加进来的了……

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

这就很离谱了好吧,因为虽然“菜谱骗子”们骗过了苹果的 App 审核,但它们最多也只是诈骗,是在玩弄社会工程学,而不是病毒。

理论上来说,它们根本没有办法绕过苹果最根本的安全措施,在不弹任何验证码的情况下往苹果的双证验证系统里加入能收验证码的新手机号

这一点是我和编辑部小伙伴们都感觉非常诧异的,也是今天关注到这件事的网友们讨论最激烈的。

不过在一段讨论之后,研究苹果开发的 BugOS 技术组提到了一种可能的思路:

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

上面截图里的内容大家看不懂没关系,简单来说,苹果浏览器框架的安全策略出了问题。

事情大概是这么回事:我们都知道,不管是 iPhone,还是安卓手机,系统里都会有一个预装的默认网页浏览器对不对。

比如 iPhone 上就是 Safiri,安卓这边则是各家的自带浏览器。

但这其实只是表面上的浏览器。

但其实,再往系统底层找,还有一个“没有图标”的浏览器框架:WebView。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

这个 “ 浏览器框架 ” 不能被普通用户在手机里直接点开,它存在的意义,是供其他 App 调用的。

我们举个例子,就比方说美团、滴滴他们经常在 App 里搞领券的活动,对于这种临时的活动页面一般就是写个网页。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

这些 “ App 内的网页 ”,实际上都不是 App 本身在渲染,而是美团和滴滴拉起了系统里的 WebView 组件来进行渲染的。

这个组件其实帮了开发者很大的忙,假如没有 WebView 浏览器框架的话,包括美团和滴滴在内的所有 App 开发者,都得往 App 里再额外集成一个独立的浏览器内核。

本身现在的 App 们就已经很占存储空间了,要是一人再背一个 Chrome……

画面太美了,我不敢想!

另外,作为网络世界的窗口,浏览器漏洞本身也是很多黑客行为的突破口。

系统本身提供一个全局自动更新的浏览器框架,也可以避免一些 App 不更新内置的浏览器内核,导致黑客趁虚而入。

这次的问题,恰恰就出在这个 “为了不出问题” 而设计的系统级浏览器框架上。

不知道大家有没有体验过系统浏览器的 “便捷单点登录” 功能。

就比方说,假如你在 Windows 电脑上使用自带的 Edge 浏览器打开微软账户官网,Edge 浏览器不会让你输入微软账户的账号密码。

而是会自动读取当前电脑里登录的微软账户,然后帮你在浏览器网站里完成登录。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

假如你在登录了谷歌账号的安卓手机上使用谷歌 Chrome 浏览器,它也会自动帮你完成登录操作。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

苹果也是如此,假如你在 Safari 浏览器里打开 Apple ID 官网,并点击登录。

浏览器也不会让你输入密码,而是直接弹出来一个登陆操作的确认框。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

假如你点了 “继续”,得益于高性能的苹果 A16 处理器,系统会光速弹出 Face ID 验证。

一个眨眼的功夫,就登录成功了。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

诶,等会儿。

这个登陆框,怎么有点儿眼熟啊???

为什么 “ 菜谱大全 ” 会请求登录 Apple ID 官网啊???

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

说真的,假如没有对比的话,菜谱大全的操作很容易会被大家当成是普通的 “ 一键注册账号 ” ——

包括发帖的 airycanon 也没反应过来,以为是丈母娘没有选苹果的隐私邮箱登录选项才暴露了 Apple ID,让黑客掌握了信息。

真正的一键注册环节会要求选择是否隐藏邮件地址:

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

实际上,当这个确认窗验证完毕之后,骗子都已经准备好往账号里加料了。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

“菜谱大全” 之所以能够一键登录,恰恰就是利用了 WebView 这个系统级浏览器框架的 “便捷登录” 特性。

表面上,是一个菜谱 App,而在它的内部,隐藏了一个正在访问 Apple ID 官网、并准备篡改用户接收验证短信手机号的浏览器界面。

我后来看 BugOS 技术组又发了一个微博,他们已经用自己写的代码还原完整个攻击过程了。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

按照苹果 Apple ID 官网目前的安全逻辑,只有一开始的账号登录环节需要下发验证码做双重验证。

而这最开始的一步,骗子已经通过 WebKit 的便捷登录绕过去了。

已经处于登录状态的情况下,只要输固定的账号密码,就可以直接添加新的验证手机了。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

现在相信大家已经彻底搞明白背后是怎么一回事儿了,这时候我们再重新回看故事的全貌:

“菜谱大全” 先是在表层界面的下面,隐藏了一个 WebView 浏览器组件,然后利用它系统级的 “便捷登录” 能力,进入了 Apple ID 官网。

接着,它给用户弹出了一个密码输入框,用来搞定添加验证手机的最后一步障碍。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

拿到密码之后,App 就会偷偷跑起添加新验证手机的自动脚本,这时候受害者的苹果账号就已经不属于自己了。

什么时候发起攻击,全看黑客心情了。

OK,复盘完毕,这么一看好像还是受害者太傻,平白无故把密码交出来了对不对 —— 假如受害者打死不填密码,黑客也没招。

我们不应该骂苹果对不对?

emmmm,在下这个结论之前,我想先带大家看一看苹果的老对手 —— 谷歌是怎么做的。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

和苹果 Apple ID 一样,只要已经处于登录状态了,谷歌这边的账号系统要想添加新的验证手机,也只是输一下固定密码的事。

但是和苹果不同,谷歌根本不允许系统的 WebView 组件使用 “便捷登录” 技术。

我在自己的安卓手机上做了个小测试,分别使用谷歌 Chrome 浏览器和 Via 浏览器( 一款直接调用系统 WebView 框架的极简浏览器 App )访问谷歌账号官网。

Chrome 浏览器因为已经获取了系统里的账号登录状态,因此直接就登录了。

Via 浏览器则没有这个能力,需要一步步重新输入账号、密码、验证码。

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

换句话说,假如有骗子想在安卓手机上做一个同样套路的事,第一步就卡住了……

但是在苹果系统里,不管是调用 WebView 的 Via,还是真正的自带浏览器 Safari,都能调用便捷登录。

再搭配上 App Store 的审核漏洞,一锅好菜就出炉了……

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

严格来说,这对于 iOS 系统来说也算是一个漏洞 —— 它不是代码漏洞,而是一个逻辑漏洞。

骗子利用苹果开放的便捷登录能力,伪装了自己一波,再利用一点点社工技巧,就把钱骗到手了。

由于系统逻辑漏洞造成的问题,正确的解决方式应该是着手准备 OTA 补丁,同时帮着受骗的用户追回损失。

不过苹果给这个受害者带来的感知,并不是很好……

iPhone今天这个大漏洞,让人打开App就被盗刷一万五。。。

可能现在时间还比较短,希望苹果后续可以帮这个受害者妥善解决。

不瞒大家说,本来我今天是没打算写这篇文章的。

因为真要细究的话,安卓这边虽然把 WebView 的洞补上了,但是其他的漏洞更多、骗人的方式根本数不过来。

苹果生态总体来说都还是更安全的、让人用着更放心的,但是大家不要因为它 “安全” 的标签就变得麻木、不重视安全了。

就像大家都说沃尔沃安全,但你不能因为这点就不握着方向盘了。

相信很多给家长买 iPhone 的小伙伴,都是希望家长尽可能不被骗。

但我觉得,我们还是要告诉他们即便是 iPhone,即便是 App Store,也不能保证绝对安全。

不随便输密码、不给所有 App 用一模一样的密码是最后的底线。

千万记得叮嘱他们,免密支付能不开就不开。如果开了的话,免密支付的卡里面也不要放太多的钱。

图片、资料来源

IT之家:苹果 iPhone 曝光重大漏洞,Apple ID 开启双重验证仍被盗刷。

V2EX:@ airycanon

新浪微博:@ BugOS技术组

米罗的 iPhone

作者:米罗,编辑:面线,大饼

原文标题:iPhone今天这个大漏洞,让人打开App就被盗刷一万五

来源公众号:差评(ID:chaping321),Debug the World。

本文由人人都是产品经理合作媒体 @差评 授权发布,未经许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议。

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务