更新:已经有老哥渗透进了后台,删除了应用,目前后端接口不可用链接地址
V2EX 原帖地址:家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒
基于 #89 楼回复分析如下:
攻击思路复现
- 恶意应用伪装成为正常应用上架 App Store;
- 用户下载恶意应用后,恶意应用设置隐藏的 WebView 嵌入 Apple ID 的 Web 地址,该操作会拉起系统级的授权弹窗,授权后应用二次弹窗收集用户的登录密码,因为是本机登录所以直接绕过「双重认证」;
- 恶意应用通过往 WebView 注入 JS 实现登录并获取 Cookies 会话发送到服务器进行异地操作,将准备好的攻击者的手机号添加为「家人共享」成员为后面接收「双重认证」验证码做准备;
- 等待晚上凌晨时间段,通过 Apple ID 后台执行远程抹除手机,防止用户收到扣费短信,然后通过攻击者的手机号接收「双重认证」登录 App Store 并通过邀请家庭成员代付虚拟商品实现盗刷。
防范
- 不下载不知名的应用,就算上架了 App Store 也不代表它一定安全;
- 使用 Apple ID 登录时需要注意登录的应用的授权名称与应用名称是否一致,该攻击手段中登录的地址为 appleid.apple.com,实际应用使用 Apple ID 登录时会显示应用名称,如下;
为 Apple Store 自动扣款设置限额,目前绑定微信支付和支付宝支付设置位置如下:
- 微信:我-服务-钱包-支付设置-Apple服务扣费-扣费额度-修改
- 支付宝:我的-右上角齿轮⚙️-支付设置-免密支付/自动扣款-App Store & Apple Music-去管理-月限额
反思
按当前分析的攻击思路,那么 App Store 的审核机制有很大问题,相比之前需要通过社工手段迷惑性更强,危害性更大,资金被盗刷后还可能面临设备被抹除数据的风险,在等待 Apple 响应之前只能仔细甄别恶意应用避免受到钓鱼攻击。
v2上看到了 很是震惊
@ysnow 我也挺震惊,目前 App 似乎已经被下架了,但是现存的恶意应用以及已经安装的该如何处理,等 Apple 的后续回应。
山寨 App 能上架也是离谱,不过要是家人登录的账户不给随便下载软件可以避免以上所有烦恼
@保罗 是的,不过套壳 App 上架似乎很正常,我手机里也有,下载时是笔记 App 打开后长按某个地方或者输入什么字符整个 App 就变成了盗版影视 App。
这次事件只能说黑产团队比 Apple 的产品经理更懂业务逻辑。∠( ᐛ 」∠)_