IT之家 7 月 25 日消息，昨日，程序員社區(qū)V2EX 出現(xiàn)了一條熱門帖子，用戶airycanon 稱自己家人的 iPhone 開啟了Apple ID 雙重認(rèn)證，但仍然被釣魚騙錢了。

據(jù)稱，其家人在 Apple Store 上下載了一個(gè)菜譜類App，采用Apple ID 授權(quán)登錄，隨后該 App 彈出了一個(gè)密碼輸入框，輸入密碼后就被騙取了賬號(hào)信息，且整個(gè)過程中沒有出現(xiàn)雙重認(rèn)證彈窗。

根據(jù)博主@BugOS 技術(shù)組 的測(cè)試，受信設(shè)備中的應(yīng)用拉起隱藏 WebView 訪問 appleid.apple.com 無需雙重驗(yàn)證，這一重大漏洞使得用戶掃個(gè)臉即可登錄。該 App 又用假的對(duì)話框騙取密碼，然后將詐騙者的手機(jī)號(hào)加入雙重認(rèn)證的信任號(hào)碼，直接遠(yuǎn)程抹掉設(shè)備，使用戶無法接收扣款信息，并進(jìn)行盜刷。

從整個(gè)原理來看，這一方法確實(shí)隱蔽且難防，目前尚不清楚蘋果何時(shí)會(huì)修復(fù)這一漏洞。博主@BugOS 技術(shù)組 表示，當(dāng) iPhone 上出現(xiàn)輸入 Apple ID 密碼的窗口時(shí)，按 Home 鍵或上劃手勢(shì)嘗試退出一下，能退出的都是在詐騙。IT之家小伙伴可以暫時(shí)將這一方法作為應(yīng)對(duì)措施。