一直以來,iPhone 內置的 iOS 系統都是以易用、隱私、安全著稱。
這也是為什么很多小伙伴寧愿拋棄超高性價比的安卓,轉而選擇 iPhone 機型,作為父母長輩們的主力用機。
其中一個很重要原因就是因為其 App Store 下載應用安全簡單。
得益于蘋果對于上架應用嚴格且規范的審核機制。
我們只需幫父母長輩們注冊一個 Apple ID 賬號,就能在 App Store 里下載到整潔統一、不亂跳轉下載、不亂扣費的高質量應用。
他們前段時間甚至還請了 “ 葉師傅 ” 拍了段關于 iPhone「個人隱私信息安全保護」的廣告宣傳片。
可見蘋果對于這方面是足夠重視且自信的。
但就在最近,iPhone 卻因為這個搞出了大岔子。
一位網友的丈母娘被 App Store 應用商店里的 “ 菜譜類 ” App 直接騙走了 16000 元。
還是在 iOS 內置的 App Store 官方應用商店下載,并開啟了 Apple ID “ 雙重認證 ” 的情況之下...
咦!這時有些反應迅速的小伙伴可能就察覺到了問題所在,要是在開啟了 Apple ID 雙重認證的情況下還被騙的話,那就證明這位網友的丈母娘是自己粗心大意進而輸入了關鍵密碼信息被騙的呀!
那怎么就能怪蘋果呢?這不就是活脫脫自己丈母娘糊涂的問題嗎?而且類似這樣被騙的案例也不在少數啊,有什么大驚小怪的?
是的!沒錯~
這其實是果子剛看完這條帖子標題,內心 OS 里的第一反應,同時也是這次被騙事故的關鍵所在。
就是怎么被騙的?用了哪種手法?真的只是因為這位網友的丈母娘糊涂才被騙這么簡單嗎?
為了搞清楚事情的來龍去脈,果子把原帖也就是這位網友描述的事情經過,認真、仔細、一字不落的過了一遍。
事情呢!是這樣子的:
案發當天,網友的丈母娘就在 App Store 上下載了一個名為 “ 菜譜大全 ” 的 App 。
這個 App 從應用商店下載到手機上這一過程,平平無奇,沒啥毛病。
但打開后,就開始不對勁了!
首先,它的登錄方式是 Apple ID 授權登錄。
經常用 iPhone Apple ID 快捷授權登錄的小伙伴應該都不會陌生。
現在很多 App 都支持 Apple ID 賬號快捷登錄,只需 Touch ID 驗下指紋或 Face ID 掃個臉......
而網友的丈母娘就點了繼續選擇了 Apple ID 的快捷登錄。
到這一步,整個過程看似非常合理。
畢竟下載完的 App 如果有需要登錄的話,我們正常都會選擇登錄的嘛。有些 App 就是要登錄了才能支持功能的正常使用。
但這個登錄其實是藏著 “ 地雷 ” 的,這個果子后面會說到。
在 Apple ID 快捷登錄完成后,這個 App 就逐漸開始顯露馬腳了。
要求網友丈母娘再以 “ 手動輸入 ” 的方式輸入一遍密碼。
而且還把密碼驗證對話框做的不說很像吧,要是不仔細看的話,像果子這種身經百戰,都很容易就陷進去。
更別說像網友丈母娘這種在這方面缺乏提防,容易疏忽的長輩們了。
不過仔細看的話,這個對話框還是存在很多漏洞的。
首先是 Apple ID 寫成了 AppLeID ;您的ID密碼 ID 兩個字母前后沒有空格;甚至登錄兩字也寫成了登陸。
但就是這樣簡單類似 “ 障眼法 ” 的釣魚手段。
騙子輕松獲取到了網友丈母娘完整的 Apple ID 賬號密碼。
在賬號密碼成功得手后,騙子并沒有急著去消費盜刷。
而是登錄進去,把自己的號碼加入到 “ 雙重認證 ” 的信任號碼中。
這是個非常細節的操作,目的就是為了后續的登錄自己就能通過認證。
到了這一步之后,騙子就算是完全掌握住了網友丈母娘 Apple ID 的所有權限啦!
有了完整的賬號權限,騙子就能大搖大擺毫無阻攔的想干啥就干啥。
他先是創建了 “ 家庭共享 ” ,添加另外一個賬號。
由這個賬號去消費盜刷。
而網友丈母娘之前又因為在某 App 上購買過虛擬商品,所以 App Store 已經綁定了微信的免密支付。
這就讓騙子更是有了可乘之機。
為了讓網友丈母娘無法第一時間獲取到微信支付成功的消息通知,騙子還把網友丈母娘 iPhone 上資料給抹除掉。
網友后面這沒細說,這里果子猜測是騙子借 “ 查找 ” 應用里的 “ 抹掉此設備 ” 功能讓網友丈母娘的 iPhone 恢復到了出廠設置的狀態!
網友還把時間線發了出來:
可以看到從網友丈母娘 “ 手機資料被抹除 ” 至 “ 被消費盜刷 ” 再到凍結,整個過程用時僅短短 7 分鐘。
換算到事情發生到結束,果子能想象到無論是網友或是網友丈母娘,整個人一定是愣住、一臉懵 B 的狀態。
對!就是這么被釣魚,這么被騙的...
整個事情的過程呢!你說簡單吧,確實很簡單;但你說復雜吧,確實又很復雜。
其中復雜的部分,大多是在手法上。
就是在 Apple ID 開啟 “ 雙重認證 ” 的情況下,騙子是怎么樣做到 “ 繞過 ” 雙重認證機制的呢?
這也是網友后來一直搞不懂的點。
沒關系,果子帶你們回到 “ 案發現場 ” 一步步來看。
還記得文章開頭的這個 Apple ID 快捷授權登錄嗎?
注意里面登錄的 “ 目的地 ” ,也就是域名:appleid.apple.com 。
沒錯!這個域名是蘋果 Apple ID 賬戶管理的官網。這個網站有什么用呢?大家看下面圖片上的文字就清楚啦。
騙子在這個 App 里面內置了一個叫 Webview “ 瀏覽器內核 ” 的組件。
并隱藏了訪問 Apple ID 賬戶管理的頁面控件。
換句話說,網友丈母娘進 App 第一次的創建登錄,其實是幫騙子登錄了 Apple ID 賬戶管理的官網。
果子自己也試著用 Safari 瀏覽器登錄了一遍。
仔細留意快捷授權登錄框:
是不是跟上面網友丈母娘的樣式一樣?
果子在這插上一嘴。
App 第一次使用 Apple ID 創建并快捷登錄的界面,應該長這樣才對:
因為是在本機又是受信設備中操作,而且是在自帶的 Safari 瀏覽器中登錄 Apple ID ,所以并不會觸發 “ 雙重認證 ” 。
就跟上面果子一樣,只需 Face ID 刷個臉就通過認證登進 Apple ID 賬戶的管理官網了。
此時這個時候,騙子其實是并不知道網友丈母娘 Apple ID 密碼的,那么他是怎么獲取到的呢?
還記得這個被果子吐槽過的 “ 密碼驗證對話框 ” 嗎?
就是網友丈母娘第二次 “ 手動 ” 輸入密碼登錄的這個。
騙子就是通過這個,得到了 Apple ID 的密碼。
有了 Apple ID 的賬號密碼后,就能添加 “ 受信任電話號碼 ” 。
然后的然后,就跟果子上面復述的事情經過一樣,一直到被消費盜刷...
這其中還有一些騙子個人的技術小手段,涉及到 JavaScript 代碼啥的,果子就不詳細展開來說啦!
總之基本過程就這樣。
大家可以參考下當事人網友以及研究蘋果開發的 BugOS技術組的說法。
拋開網友丈母娘釣魚窗口被騙這個前提,其實回看整起事件,蘋果的 iOS 存在 “ 破口 ” 肯定是洗不清的。
這不僅僅是代碼上的漏洞,更是系統安全 “ 邏輯 ” 上的大漏洞。
一方面:App 調用 Webview 組件,本機是受信設備登錄 Apple ID 不用雙重認證。
另一方面:也是本起事件讓騙子輕而易舉拿起 “ 犯案工具 ” 的罪魁禍首 —— App Store 。
為什么蘋果會允許這么 “ 惡劣 ” 的 App 通過審核并上架呢?
果子特意問了下現在在搞 iOS 應用開發的大學同學。
他笑著說:“ 想騙過 App Store 審核不是很簡單的事嗎?”
“ 像這些 App ,只要在上架前偽裝成正規應用,等上架完成后,再通過更新把 “ 亂七八糟 ” 的東西加進去。”
“ 而且在 App Store 以馬甲應用、幸運按鈕激活種種方式上架的 App 不是一搜一大把嗎?”
于是乎果子找了下這次事件的主角 “ 菜譜大全 ” App(目前事發 App 已經被下架了)。
隨便下載了一兩個打開一看...
果不其然同名的很多,而且這些應用大多廣告多、Bug 多優化差、同樣有無腦就收費的情況。
Emm......
總之下載量少、評分低、評論少并差的 App ,果子在這還是建議大家不要碰。
而且就上面網友丈母娘這事,大佬也給出了相對可觀的應對方法:
就是出現輸入 Apple ID 密碼的窗口,可以通過按 Home 鍵或上劃手勢嘗試退出一下。
要是能直接退出的都是在詐騙,也就是假的驗證框;要是需要按/劃兩次或個別點按操作才能退出的,目前來說都是真的驗證框。
這個大家就當做小技巧保護一下吧!
果子只能說無論安卓還是 iOS,網站或是 App,都沒有絕對的安全,這個平時在使用過程中,還是要多留一個心眼提防下。
然后就是蘋果這邊,先把當事人的款協商處理一下...
再把 App Store 審核給提上了...
最后再把這次安全驗證上的 “ 邏輯漏洞 ” 給完善一下。
要是實在處理不了,果子覺得還不如直接在 “ App 調用 Webview 組件 ” 這塊全部加上 “ 雙重認證 ” 。
參考資料:
Apple官網
新浪微博@BugOS技術組、截圖
bilibili@airycanon截圖
編輯:Unicorn