苹果一直标榜自己安全,即使自己的苹果账号和密码泄露,在其他新设备上或网页上登录还需要进行双重验证。
所谓双重验证就是还需要提供自动显示在其他受信任设备上的六位验证码,或者受信任电话号码的手机验证码
你是不是以为这样就高枕无忧了,即使密码泄露了,账号也不会随意出问题?今天这个事,狠狠打了苹果的脸。
本文将分成以下 5 部分进行讲解:
一句话描述:贴主家人下载了一款钓鱼 App ,该 App 提供了苹果一键登录(这里划重点),并在登录后弹出一个假弹窗(这里划重点)要求你再次输入密码。你可能以为是自己人脸没成功或者密码输入错误,一旦你按要求做了,你的苹果账号就不属于你了,已经被绑定上了其他号码,可以在任意设备上登录(这里划重点)。
你是不是会开始疑惑:
还看不懂?不着急,下面的漏洞分析将为你详细讲解。
要利用该漏洞需要进行以下 3 个步骤:
先说一个技术背景:各个厂商系统为了方便自家网站的登录以及安全性,都会提供系统级的便捷登录
以 iPhone 为例,可以尝试在 Safari (或者其他浏览器、微信)中上打开苹果官方登录页面,它会直接唤起 Apple ID 登录。
乍一看,这个弹窗和钓鱼 App 怎么一模一样。。
而实际上正经的苹果一键登录不长这样,以京东为例:
然而这个页面是可以半自定义的,理论上可以做得和苹果官方站点很像,所以才防不胜防。。
如果直接打开苹果官网,用户容易察觉,所以钓鱼 App 就将这个浏览器进行了隐藏,让用户看不出来。。。
到了这一步,钓鱼 App 已经可以控制我们的苹果官网页面的所有功能了,包括:
由于登录这一步是系统做的,此时钓鱼 App 还拿不到账号密码,于是就进行了第二步攻击。
日常使用 iPhone 购买或登录时,经常会遇到人脸识别不通过让输入密码的情况。骗子就是利用这个心理,立即弹出了一个输入密码的弹窗,让你以为是自己没通过验证。
AppLeID 文案。。是它最后的善良。。。
一旦输入密码后,骗子就可以利用脚本控制苹果官网的行为(技术行话叫 Webview Evaluate JavaScript),包括添加受信任手机号码。
至此,你的苹果账号已经不属于你了,骗子将会开始第三步攻击:用受信任手机号绕过双重验证。
正如前文所说,双重验证可以选择使用自动显示在其他受信任设备上的六位验证码,或者受信任电话号码的手机验证码。
然而,受信任设备已经删完,现在默认只会走受信任电话号码,而这个电话号码又是骗子的号码。
于是,双重验证形同虚设,骗子轻松异地登录,实现账号控制。
而如果苹果账号还绑定了微信自动扣款,那么等待用户的,就是无尽的盗刷。。
看到一些错误言论,我这边也做个回答。
拜托,不会以为现在的骗子还那么傻,用错密码还会让你登进去吧。
实际上如果用了错密码,骗子那边是能够拿到错误的返回状态,原封不动的将错误显示在登录页面,看你怎么防。。
骗过苹果审核早不是什么秘密了,可以搞个阴阳版本,针对审核环节下发不同的逻辑,某大厂就是这么做的。
所以,不要太相信苹果审核。
看贴主目前是说还在和苹果客服 Battle
按理说这个锅,苹果应该占 9 成,就不应该让内置 Webview 能够使用苹果一键登录,期待后续苹果官方的处理吧。
如果本文对你有用的话,欢迎一键三连(点赞、收藏、分享)哦 ~ ✿✿ヽ(°▽°)ノ✿~
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。