TA的每日心情 | 奋斗
3 天前 |
|---|
签到天数: 2385 天 [LV.Master]伴坛终老
|
这个建议所有人都看一下,挺难防的: s# K; o; E! V" C3 g M8 @
8 Y& L- A6 k! W; g! q& |. f原理:受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,扫个脸即可,开发商直接在账号中添加新的手机号,但这一步必须输入密码,App 用假的对话框骗取密码,然后就有了你 Apple ID 的所有权限,直接远程抹掉设备,使用户无法接收扣款信息,然后就开始盗刷。% U) B/ t) y$ k7 q
我试了一遍流程,没有问题。# G+ p& s+ Q$ h6 e7 y7 ~: b( \9 ^
你可能觉得会弹出双重验证窗口,但我写了代码试验,真的不会弹窗。
2 k j% X' _3 ~( ]5 s7 t6 }
; [; c- g( i1 f* v7 o) O( ^+ z这个 App 如果在审核的时候搞阴阳版本,是查不出来的。" F. N& t+ D' \) I1 m, z7 |+ K
在第三方应用中的 WebView 访问 Apple ID 设置网页,在这种不可靠场景中居然不需要双重验证,苹果这个安全漏洞太严重了。% t0 A. e$ }1 ^2 c
别说家里的长辈了,这一套操作下来,对于不太懂数码的年轻人估计也会中招。
2 ~& g, u$ z7 Z. m4 J& r+ l% c
3 O( \6 H, G. o/ {: k F鉴于不少人看不懂,更详细解释$ _ i" {3 D; s1 L$ w: ?9 r3 F
到底是怎么绕过双重验证的:, d6 C: k! U8 {! J$ a9 ?) j
第三方应用里边,开发商可以打开一个你看不见的网页,比如在界面下层放一个名叫 WKWebView 的控件,用其他图片啊按钮啊把这个控件挡住,你就看不到下边这个网页了对吧。这个控件可以访问任何网页,而且可以控制网页上的任何操作,以及获取网页上的各种信息。于是开发商用这个看不见的控件打开 Apple ID 设置网页,重点来了,如果你的手机是 Apple ID 的受信设备,打开网页时是不需要进行双重验证的,只需要扫个脸就可以顺利登录。
$ l! x$ n7 _/ |; t% @# B' I- c
+ P Z% V. H |% {- e1 n6 p8 G
- o9 h5 ^/ W7 G' o |
|
/1 
IP卡
狗仔卡
发表于 2023-7-25 15:00:59
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡