苹果iPhone曝重大漏洞：Apple ID开启双重验证仍被盗刷

7月25日，有网友爆料称，婆婆的iPhone开启了Apple ID双重验证，但还是被钓鱼盗走了。

该网友称，7月12日晚，当晚23时许，丈母娘的iPhone突然被擦除，变成了出厂设置状态。设置过程中，手机陆续收到银行短信。

赶紧联系银行和微信支付冻结。冻结后已产生20多单，共计16000元。快报警。

该网友分析，基本确定他遇到了钓鱼，婆婆已经绑定了微信免密支付。7月11日下午，她在App Store下载了一款名为“菜谱大全”的APP，登录方式为Apple ID授权，会弹出一个非常相似的密码输入框，骗取Apple ID的密码。

让该网友惊讶的是，全程没有双重认证的弹窗。他找负责Apple ID的客服询问Apple ID被盗的情况，被告知没有记录。

对此，BugOS技术团队表示，这个漏洞确实存在:“我写了代码测试，真的不会弹出来。”

BugOS技术组也解释了绕过双重认证的原理:在第三方应用中，开发者可以打开一个你看不到的网页，比如在界面底部放一个名为WKWebView的控件，用其他图片和按钮遮挡这个控件，你就看不到下面的网页了，对吧？这个控件可以访问任何网页，并且可以控制网页上的任何操作，获取网页上的各种信息。于是开发者就用这个看不见的控件打开了Apple ID设置页面。重点是，如果你的手机是Apple ID的可信设备，那么打开页面就不需要双重验证，只需要扫脸就能顺利登录。

有网友给出了回应:

1.Apple ID不绑定银行卡，只绑定支付宝，但每月免密支付有限额；

2.App Store和iCloud不是用同一个Apple ID登录的；；

3、iCloud没有打开搜索，这个东西是一把双刃剑，虽然可以在你的设备丢失的时候及时锁定，但是另一方面，万一id被盗(或者像图中那样加了信任号)，对方可以锁定并擦除你手里的设备。

以上就是本站带来的【苹果iPhone曝重大漏洞：Apple ID开启双重验证仍被盗刷】