Apple ID雙重認證漏洞 黑客新手法偷碌萬6蚊卡數|3方法防被盜用
手機儲存了大量的個人資料和支付方法,因此手機的安全非常重要。近日,內地就有一個網民分享,在 iPhone 開啟了雙重認證的情況下,竟然也被黑客透過漏洞,成功盜取其 Apple ID,更用來偷碌了 1.6 萬人民幣(約$17,459)卡數。
盜取 Apple ID
網民在 V2EX 分享,其外母下載了一個名為「菜譜大全」的 App,並做用 Apple ID 授權登入,而且沒有隱藏 Email 地址。在登入的過程中,突然彈出一個要求輸入 Apple ID密碼的視窗,類似 FaceID 登入失敗後出現的情況,不過視窗上寫的是「AppLeID」,可見是黑客用來取得 Apple ID 密碼的方法。
👉慳電|全屋邊樣家電最嘥食?Top5耗電電器排名 第3位意想不到
黑客透過惡意 App 得到其 Apple ID 後,把自己的手機號碼加入信任號碼中,取得了整個 Apple ID 的所有權限,並創立了一個「家庭共享」帳號,加入了另一個 Apple ID 後用來盜用其信用卡,共盜用了 1.6萬人民幣(約$17,459)。
網民不太理解,為什麼開啟了雙重認證,但對方可以在沒觸發雙重認證的情況下,可以在另一個裝置登入 Apple ID。BugOS 技術經分析事情後認為,該惡意App有一個隱藏的 WebView,用來訪問 appleid.apple.com,而且無需雙重認證,只要 FaceID 即可登入。而黑客利用惡意 App 取得 Apple ID 電郵地址和密碼,獲取 Apple ID 權限後刪除其他信任裝置,因此能自行進行雙重認證,而且在支付時不會令受害者收到通知。
👉Android用家小心!31款FakeTrade惡意程式 App內儲值錢包即被呃錢
防範方法
很多用家都以為,使用雙重認證就能避免 Apple ID 被人盜用,但從以上的實例中可以得知,仍有一些方法能繞過雙重認證,盜用帳號和密碼。想避免 Apple ID 被盜用,第一樣要做的是,使用 Apple ID 登入第三方 App 時,要選擇隱藏帳號,以免開發商得到帳號地址。另外,如第三方 App 跳出要求手動輸入密碼的情況,建議不要輸入。同時,在 Apple 官網和 App 以外,也不應輸入 Apple ID 和密碼。
資料來源:v2ex