7分钟被盗刷1.6万元！手机这个功能被指有严重漏洞

近日，有网友发帖称其家人iPhone在开启Apple ID双重认证的情况下，仍被不法分子骗得管理权限，且被盗刷20多笔订单，涉及金额约1.6万元。事件迅速引起国内多个技术爱好团队关注。

经当事人和技术爱好团队分析，不法分子极有可能利用了iPhone便捷登录功能的逻辑漏洞，绕过验证机制骗取受害者Apple ID权限，进而盗刷账户。目前，警方已对此事立案调查；经多次申诉后，7月27日晚，苹果公司对被盗刷订单进行了退款处理。

不法分子绕过双重认证

获取账号权限

据发帖网友反映

7月12日晚

其家人发现手机突然被恢复出厂设置

且陆续收到来自银行的支付短信通知

随即紧急冻结支付账户并报警求助

但仍被不法分子成功创建

20多笔虚拟商品订单、盗刷

约1.6万元

据发帖网友称，被盗刷手机此前已经开启Apple ID双重认证功能，即新设备首次登录Apple ID时须同时提供账号密码和设备验证码。

但不法分子成功绕开了这一验证机制，在受害者未察觉的情况下获取Apple ID完整权限，并利用免密支付功能盗刷账户资金，甚至能够远程控制受害者iPhone恢复出厂设置。因此怀疑iPhone存在安全漏洞。

网友反映其家人的iPhone在开启双重认证的情况下仍被盗刷。

App利用

便捷登录功能漏洞完成诈骗

不法分子是如何绕开验证机制

获取目标账号权限的呢？

据当事人介绍，事发后

其尝试对整个骗局进行复盘

认为事件起因在其家人从苹果官方应用商店App Store下载安装了一个伪装成菜谱类应用的涉诈App。随后该App利用受信任iPhone内置浏览器组件申请访问Apple ID管理后台无需双重认证这一漏洞，对其家人发起“钓鱼诈骗”。

“BugOS技术组”“差评”等

数个国内技术爱好团队

均留意到该事件

并尝试根据当事人描述和相关线索

还原诈骗手法

测试结果印证了当事人的描述

7月24日下午，“BugOS技术组”发布微博称，已成功复现此诈骗流程。经测试，在受信任设备，即受害者本人使用的iPhone上，第三方App可以利用内置浏览器组件拉起Apple ID管理后台的一键登录弹窗，且不会触发双重认证功能。

不法分子只需将该登录弹窗伪装成单纯的App账号登录弹窗，诱骗受害者点击同意，之后再利用虚假输入框等方式骗取密码，即可完全绕开安全验证机制。

有技术爱好者分析后表示

与一般的网络攻击相比

这类骗局更接近于社会工程学诈骗

苹果官方支持网页信息显示，受信任设备不会被要求输入验证码。

针对此诈骗手法

“差评”团队分别对

iOS和Android系统的

内置浏览器组件便捷登录功能进行了测试

结果显示，Android系统仅在用户直接使用内置浏览器登录账号时才能触发便捷登录，其他第三方App则无法调用该功能。换言之，该骗局仅能在iOS系统上实现。

“差评”团队测试发现，同类骗局无法在Android系统上复现。

今年2月已有用户反映

App存在诈骗行径

发帖网友表示，其在事发当晚已报警。此外，他还就被盗刷的订单向苹果公司申请退款。经多次申诉后，7月27日晚，苹果公司对相关订单全部进行了退款处理，但未就此事联系当事人作进一步解释。

发帖网友的立案告知单。

涉事App已于7月25日

从App Store下架

但历史数据显示，该App最早发布于2022年12月9日，且截至下架前有991条评分记录。今年2月，已有用户在App Store评论区反映其安装该App后收到账号异地登录和异常订单提醒，更有用户直指该App是诈骗软件。

苹果于7月27日

添加多个快速安全响应

从苹果官方支持页面留意到，苹果公司已于7月27日为iOS 16.6版本和iPadOS 16.6版本添加多个快速安全响应，其中包括解决“网站可能能够跟踪敏感的用户信息”“处理web内容可能导致任意代码执行”等问题。相关快速安全响应是否已阻止前述“钓鱼诈骗”手法，仍有待进一步测试。

提醒：注意弹窗说明文字

控制免密支付最高限额

作为普通用户

面对这类App“钓鱼”骗局

有何防范方式？

首先，用户发现手机出现权限申请等弹窗时应当留意相关说明文字，看该弹窗具体由哪个App发起、索要哪些权限。以iPhone为例，弹窗会提醒用户正在登录的具体网页或App，若弹窗指向目标与用户当前操作不符，则应及时拒绝该申请。

其次，不法分子通常不会在涉诈App中直接使用手机品牌、厂商名称等关键词，以降低被应用商店和手机厂商人工复核的概率。因此，涉诈App的虚假界面内经常会出现错别字或异常符号，用户输入敏感信息前应着重留意App或网页内的logo、品牌名等位置是否存在异常。

以上述骗局为例，不法分子为躲过苹果应用商店的审核，伪装的密码输入界面文字为“AppLeID”，而非“Apple ID”↓

此外，个人用户在下载安装App时，应当注意其开发者信息、评论留言等相关背景资料。如非必要，不要下载一些上架时间短、下载量少、开发者也不知名的应用。

最后，手机免密支付功能具有一定的便利性，但同时也易被不法分子视为安全机制的突破口。个人用户可基于日常消费习惯，合理设置免密支付最高限额，尽可能降低账号被盗后的资金损失。

“BugOS技术组”

也提供了一条简单易行的反诈技巧：

若iPhone上出现输入Apple ID密码的弹窗，可尝试退出操作，能退出的都说明不是iOS的系统级弹窗，极有可能涉及诈骗。

**如有侵权请与本公众号联系**

原标题：《7分钟被盗刷1.6万元！手机这个功能被指有严重漏洞》

阅读原文