Apple ID被盜雙重認證遭破解盜刷！注意iPhone 重大漏洞與防護方法公開

Apple ID 雙重認證又被駭客找到新漏洞繞過，最近有名網友在V2EX上分享，家人 Apple ID 帳號在有開啟雙重認證狀態下，同樣發生 Apple ID 遭盜和盜刷多筆金額過程，該事件也引發 iPhone 系統正存在嚴重漏洞問題。

一名網友分享整個家人 Apple ID 帳號被盜用到過程，他發現算有開啟雙重驗證機制，似乎也起不了安全防護，在短短兩天 iPhone 設備資料遭遠端清除，就開始連續收到20多筆銀行 App Store 盜刷 1.6 萬人民幣（約台幣7萬元）訂單通知。

隨後緊急立即申請凍結微信支付和銀行帳戶，最終也到社區派出所報警立案。根據網友分析，這很有可能是該設備已經遭受 iPhone 漏洞和釣魚攻擊。

Apple ID 被盜用！駭客破解雙重認證和盜取帳號與盜刷過程解析

底下是該名網友分享家人 Apple ID 被盜用過程和盜刷紀錄，同時本篇也會同步解析四大問題點，帶你了解駭客是如何成功取得受害者 Apple ID 帳號密碼和繞過雙重驗證方式。

下載夾帶惡意代碼應用程式

該名網友回想，最初是在7月11日下午，丈母娘從 App Store 下載一款名為「菜譜大全」App，採用 Apple ID 授權登入，在沒有選擇 iCloud+ 隱藏郵件地址，導致 Apple ID 帳號被洩漏紀錄。

偽造竊取Apple ID密碼視窗

緊接畫面會彈跳一個偽造 Face ID 臉部驗證錯誤的密碼輸入框，目的是用來直接騙取 Apple ID 密碼，如果沒有仔細看上面提示說明，大多數人都是直接輸入密碼。（可以發現AppleID提示都打成AppleLeID）

WebKit 漏洞繞過 Apple ID 雙認證機制

當完成 Apple ID 帳號與密碼後就成功登陸，最讓網友最訝異的點是，整個過程完全沒有跳出 Apple ID 雙重驗證視窗。事後改名網友也與 Apple ID 客服人員查詢與確認，反而被告知查不到任何 Apple ID 被盜用紀錄。

對於 Apple ID 雙驗證無作用問題，根據 BugOS 技術組用戶測試，發現 Webkit 安全漏洞確實能繞過 Apple ID 雙驗證機制，第三方應用程式釣魚手法是加入隱藏 WebView 畫面，讓受害者自己訪問官方 appleid.apple.com 網頁，這步驟只要掃臉無需雙驗證即可登入 Apple ID 帳號，同等於第三方 App 瀏覽器捏造成登入官方 Apple ID 會員頁面 ，該組 App 就變成受信任的設備。

不過要替帳號加入信任手機號碼，還需要取得受害者 Apple ID 密碼，就要偽裝彈窗釣魚頁面，才能完整取得受害者所有帳戶權限。

整個過程最關鍵是駭客在第三方應用程式內加入一個無法看見網頁 WKWebView 控件，並且透過其它物件遮擋隱藏邊緣功能列，讓用戶無法分辨目前顯示的其實是網頁畫面。

這個控件還具備能夠連上任何網頁、控制網頁上任何操作，還可以獲取網頁上所有訊息，駭客便利用這個控件寫入偽裝成彈窗 Apple ID 密碼提示，讓 App 能夠彈跳出假的騙取密碼視窗，並且搭配代碼腳本，自動會將釣魚集團的手機號碼加入 Apple ID 雙重驗證信任號碼。

取得Apple ID權限清除資料、盜刷

駭客在成功取得 Apple ID 帳號和密碼權限後，並直接新增受信任手機號碼，基本就有受害者完整 Apple ID 登入權限，接下來直接透過 iCloud 網頁遠端操作，直接清除受害者 iPhone 設備所有資料，讓用戶無法正常接收消費扣款訊息，就會開始一連串盜刷消費。

當然盜用帳號者，並不會直接用受害者Apple ID帳號直接下單，而是直接用用另一組帳號來組成家庭共享，並由這組帳號開始購買 App 虛擬商品。

以下是受害者設備在短短兩天內，隔天 Apple ID 帳號密碼被盜用後，隨後開始跳出自動恢復原廠資料和盜刷過程：

• 23:33 ，丈母娘的手機突然被抹掉了資料，變成出廠設置的狀態。
• 23:35 ，她拿手機找我給她看看，我以為是蘋果系統問題，開始給她重新設置。
• 23:36 ，在設置的過程中，手機陸續收到了短信通知，我發現其中有銀行、支付等字樣。
• 23:37 ，開始意識到事情不太對，趕緊聯繫銀行和微信支付凍結。
• 23:40 ，等到凍結完畢，已經產生了20 多筆訂單，共計1.6w 。
• 23:50 ，報警之後，到社區派出所立案。
• 01:10 ，立案過程中，我在Apple Store 的退款渠道提交了退款。

BugOS 認為這個基本很難防範，App在審核利用陰陽版本，蘋果難以查出內容是否有夾帶惡意代碼，而且第三方能利用 WebView 訪問 Apple ID 帳號設定頁面，而且不需要雙重驗證，不說長輩容易被騙，就連年輕族群也同樣會中招。

如何防範 App 惡意盜用 Apple ID 帳號密碼？

看完以上整個 Apple ID 盜用帳號密碼過程，相信很多人都會擔心從 App Store 下載，可能也會碰到類似釣魚詐騙 App 應用程式，底下分享幾招防範方法：

• 在第三方 App 使用 Apple ID 登入註冊時，一定要選擇隱藏帳號，避免真實 Apple ID 帳號外洩。
• 第三方 App 在 Face ID 認證成功或突然要求跳出 Apple ID 密碼視窗請勿輸入。
• 平常不常在 App Store 或 Apple Store 消費，可以先取消 Apple ID 綁定信用卡，有需要用時候再加入。（有訂閱不要取消）
• 非蘋果官網 App 或官方網頁，請勿隨便輸入自己的Apple ID與密碼。

也有人認為可以關閉 iCloud 尋找功能，就能避免被遠端清除資料，反而不推薦這樣做，只要關閉尋找功能會造成 iPhone 設備遺失後，無法確認位置和使用 iCloud 安全鎖，讓撿到手機的人也能夠直接強制重刷系統就變成一台乾淨設備。

目前這也算是 Apple ID雙重認證嚴重漏洞，等同被駭客找到繞過破解方式，後續從 App Store 下載不知名第三方應用或遊戲時，如跳出要求登入帳號密碼，一定要選擇隱藏 Apple ID 帳號和掃臉登入，不建議透過手動輸入密碼，避免讓對方成功取得帳號所有權。

其實 Apple ID 雙驗證釣魚手法也並非第一次發生，過去也有多起 Apple ID 被盜用事件（點我了解），大多是利用偽造訂單信件，誘騙受害者到偽造 Apple 登入頁面輸入帳號密碼，連同驗證碼輸入頁面也能仿造，造成帳號密碼和認證電話號碼遭修改，導致受害者的 Apple ID 帳號無法取回，連同 iCloud 資料都要重新來過，甚至手機遭上鎖後也要重新購買。

對於這起重大安全事件，瘋先生也已經反應和通報 Apple 官方人員，就靜等後續蘋果針對 Webkit 問題進行修補，才能避免有其他受害者。

延伸閱讀：Apple ID被盜會怎樣？必學8招防堵詐騙與釣魚信件技巧

source：v2ex