V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
airycanon
V2EX  ›  问与答

家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒

  airycanon · 2023-07-23 21:46:37 +08:00 · 53161 次点击
这是一个创建于 522 天前的主题,其中的信息可能已经有所发展或是发生改变。

时间线

7 月 12 晚上发生的事情,

  • 23:33 ,丈母娘的手机突然被抹掉了资料,变成出厂设置的状态。
  • 23:35 ,她拿手机找我给她看看,我以为是苹果系统问题,开始给她重新设置。
  • 23:36 ,在设置的过程中,手机陆续收到了短信通知,我发现其中有银行、支付等字样。
  • 23:37 ,开始意识到事情不太对,赶紧联系银行和微信支付冻结。
  • 23:40 ,等到冻结完毕,已经产生了 20 多笔订单,共计 1.6w 。
  • 23:50 ,报警之后,到社区派出所立案。
  • 01:10 ,立案过程中,我在 Apple Store 的退款渠道提交了退款。

被盗经过

之前一直以为开了双重认证就高枕无忧,经过排查后,基本确定是被钓鱼了:

  • 丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。

  • 7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图

  • 接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图

  • 有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。

  • 登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证,如图

  • 到这一步,他已经掌握了受害者 Apple ID 的所有权限。

  • 接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品,如图

疑问

整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。

尝试退款

我在 Apple 400 客服尝试了多种方式,最终都失败了:

  • reportaproblem.apple.com 页面申请退款,申请后联系客服告知被拒绝。
  • 找负责 App Store 订单的客服,要求升级高级顾问,告知这是最终结果,升级也没有意义,被拒绝。
  • 找负责 Apple ID 的客服,曲线救国,要求查询 Apple ID 被盗的问题,被告知查不到记录。
  • 由负责 Apple ID 的高级顾问转到负责 App Store 订单的高级顾问,和该顾问扯皮了 2 小时,被拒绝。

目前还能尝试的方式:

  • 打 12315 反馈
  • 在工信部违法和不良信息举报中心投诉
  • 起诉苹果
第 1 条附言  ·  2023-07-23 22:34:11 +08:00
补充一下:
抹除设备是为了防止盗号者在支付的时候,受害者微信出现支付通知。
评论区有大佬提到,如果这个 APP 有截屏,可以截到双重认证的弹窗并上传,并不需要 Apple ID 所有者主动提供验证码。
第 2 条附言  ·  2023-07-23 23:05:29 +08:00
这个 App 的权限只有两个:Siri 与搜索,无线数据
第 3 条附言  ·  2023-07-24 11:05:02 +08:00
抓包看了下,app 会访问这个 app.yime888.com ,有没有大佬有兴趣爆破一下。
第 4 条附言  ·  2023-07-24 13:27:35 +08:00
89 楼的大佬,给了一个绕过双重认证的思路,感觉是比较靠谱的。
第 5 条附言  ·  2023-07-24 15:14:46 +08:00
感谢各位大佬,目前差不多搞清楚对方是如何绕过双重认证的:
对方在 App 内置了一个 Webview ,然后访问 appleid.apple.com/sign-in ,这一步系统会出现 Apple ID 的弹窗,如果人脸识别通过了或者输入了正确的密码,这个页面就登录了(可以理解为在内置的 safafi 打开了 Apple ID 的登录页面)。

接下来会出现密码弹窗,受害者输入密码之后,这个 Webview 可以注入一些 js 获取到 Cookie ,然后访问 appleid.apple.com/account/manage ,通过一些自动接收验证码的机制,配合 Cookie 和密码,就可以在受害者 Apple ID 的信任号码中加入他自己的号码,用来接收双重认证的短信。
第 6 条附言  ·  2023-07-25 16:35:06 +08:00
最新情况:
昨天通过工信部提交投诉之后,一个苹果行政关系部的人联系我,说是会帮我处理退款的事,刚刚告知了我处理结果,还是拒绝了,目前只剩下起诉这一条路了。
第 7 条附言  ·  2023-07-27 18:50:28 +08:00
最近情况:苹果刚刚把我家人的所有被盗订单都退款了,但是还没有跟我联系,感谢大家的支持。
385 条回复    2024-04-16 15:23:06 +08:00
1  2  3  4  
wanguorui123
    301
wanguorui123  
   2023-07-25 14:06:19 +08:00
这种漏洞很多年前就出现过,非常危险的钓鱼弹窗。
HeyYoGirls
    302
HeyYoGirls  
   2023-07-25 14:07:34 +08:00
@x1abin #173 还有给喜欢薅羊毛薅到死的老鼠屎洗的人啊?闻所未闻。
alihbaba
    303
alihbaba  
   2023-07-25 14:10:24 +08:00
@DevHjz 都是宝塔相关的 888 是 web 数据库 pma 9090 ssh
unklity
    304
unklity  
   2023-07-25 14:12:26 +08:00   ❤️ 1
受害者启动应用后看到登录画面,误以为是授权应用登录

受害者如果没有仔细观察或无意识就会通过 SSO 登录到 appleid.apple.com

攻击者取得受害者 Cookies 并添加自己的手机号码到信任手机

弹出虚假的密码输入窗口骗取受害者密码
dsb2468
    305
dsb2468  
   2023-07-25 14:21:11 +08:00
@unklity 需要先骗取密码,才能添加信任手机。SSO 登录后,添加信任手机,需要输入密码才能添加
dsb2468
    306
dsb2468  
   2023-07-25 14:22:45 +08:00
@Dashit 290 楼,你能看到不同的分发渠道
unklity
    307
unklity  
   2023-07-25 14:26:33 +08:00
@dsb2468 我这里使用 Firefox 测试只需要通过 SSO 登录到 appleid.apple.com 后就可以直接添加信任手机号
dsb2468
    308
dsb2468  
   2023-07-25 14:33:05 +08:00
@unklity 你随便输入一个 13888888888 ,然后点击继续,就会让你输入密码了
x1abin
    309
x1abin  
   2023-07-25 14:35:51 +08:00
@HeyYoGirls 建议提升下自己的阅读理解能力,别闹笑话。
unklity
    310
unklity  
   2023-07-25 14:35:52 +08:00
@dsb2468 的确,草率了,我没有进一步操作,没能看到密码验证的步骤。

那实际的顺序应该是先骗取密码再添加信任手机号。
yuruizhe
    311
yuruizhe  
   2023-07-25 15:18:01 +08:00
启用免密支付了,那就危险点了
benjaminv
    312
benjaminv  
   2023-07-25 15:43:15 +08:00 via iPhone
@shinsekai 感觉的确是这样,弹窗拿到密码后随便网页或者新设备登录,甚至代码模拟登录,Apple 都会用已经登录的设备来提供验证码,这个时候如果截屏录屏,就主动拿到了验证码,另一段识别输入几乎不需要时间,所以用户几乎没机会看到,记录和应对这个验证码弹窗。
那么问题就是,录屏截屏的权限怎么拿到的?@airycanon double check App 的权限,有没有自签证书啥的?
HeyYoGirls
    313
HeyYoGirls  
   2023-07-25 15:49:51 +08:00
@x1abin #309 小粉红是这样的,自己说了啥都不记得了,没事理解你。
nirvanahh
    314
nirvanahh  
   2023-07-25 15:50:39 +08:00
今天下午微博很多大媒体在发了,不过感觉这问题太专业了,围观群众不多;回头看看抖音有没有热心大佬发
dsb2468
    315
dsb2468  
   2023-07-25 15:55:10 +08:00   ❤️ 1
@benjaminv NONONO ,没有用到录屏的东西,就是 304 楼的方式,把 304 楼最后两步换个顺序,就是答案。
x1abin
    316
x1abin  
   2023-07-25 15:56:55 +08:00   ❤️ 4
@HeyYoGirls 一个讨论苹果安全和售后问题的帖子都能戳到你政治上头的 G 点,建议早日就医吧,记得挂精神科。
blocked ,滚。
benjaminv
    317
benjaminv  
   2023-07-25 15:57:05 +08:00 via iPhone
@unklity 感觉没这么麻烦,

受害者 Apple ID 没隐藏 email 或其他社工库泄漏 email
⬇️
虚假弹窗获取受害者 Apple ID 登陆密码
⬇️
模拟登录,向受害者手机发出授权申请:该手机屏幕显示登录位置及验证码 (6 位数字,明文)
⬇️
录屏或者截屏获取该授权登录验证码
⬇️
解析验证码并登录受害者 Apple ID
⬇️
新增作案者手机,以及后续流程
benjaminv
    318
benjaminv  
   2023-07-25 15:58:10 +08:00 via iPhone
@dsb2468 那这祸苹果背定了
dsb2468
    319
dsb2468  
   2023-07-25 16:11:55 +08:00   ❤️ 2
@benjaminv 你这个流程是错的,304 楼是正确的(把 304 楼最后两步换个顺序,就是完全正确的流程),已经验证过了
lisxour
    320
lisxour  
   2023-07-25 16:13:38 +08:00   ❤️ 6
@yyzh #4 我以前也是做 ios 开发的,我在这里说下审核的问题吧

首先静态代码分析审核,说这个没啥意义,代码一混淆,利用反射类的技术可以很方便的避开静态分析

第二个就是人工审核,这个是完全可以做到在审核阶段将某些特殊页面暂时关闭或隐藏,等到审核通过再放出来,我们公司也这么干过。

其实这个案例最明显的漏洞在于这个登录密码输入框,如果苹果(包括安卓或者其它系统)能做到将敏感弹窗提升为系统级别的无法被 app 伪造的(比如与系统 UI 有明显交互,在非系统 app 层面根本仿不出来的级别),这样子用户能更容易分辨出这个是假的弹窗。
dsb2468
    321
dsb2468  
   2023-07-25 16:17:49 +08:00   ❤️ 1
@benjaminv 你仔细看楼主的第一张图,那张图是楼主的母亲点击了这个 APP Store 下载的钓鱼 APP 后,点击界面上的登录按钮后,弹出来的(楼主母亲以为这个是登录软件的提示,但这个登录提示并不是登录软件 [注意看登录提示底部的网站] ,而是登录了 Apple ID 的管理页面),这一步是软件在自身内部嵌套了一个浏览器组件,让这个隐藏的浏览器去访问了 Apple ID 的页面从而实现的。

用户点击登录后,就成功 SSO 登录上了 Apple ID 的页面,然后钓鱼软件再弹窗提示用户输入密码,获得密码后,软件回传 cookie 和密码,利用脚本在管理页面添加了信任手机号,最终获得账号权限,再调选合适时间进行盗刷。

全程不需要获得 Apple ID 的账号或者邮箱,只需要用户点击 登录,输入密码。

你如果没看出图一是在登录 Apple ID 的管理页面,你也以为是正常登录软件的话,那你也就成功上当了。
HeyYoGirls
    322
HeyYoGirls  
   2023-07-25 16:19:36 +08:00   ❤️ 1
@x1abin #316 小粉红喜欢给别人扣帽子,扣到自己身上来就知道急了,哈哈。
1StpKlosr2Me
    323
1StpKlosr2Me  
   2023-07-25 16:26:53 +08:00
Witness
leefor2020
    324
leefor2020  
   2023-07-25 16:32:32 +08:00
@Misaka11037 ,感觉这个没用。我现在用的 Yubikey 做 2FA
现在看起来是整个流程都没触发 2FA 的验证....
stcode
    325
stcode  
   2023-07-25 16:32:47 +08:00   ❤️ 2
这个开发者把聪明的智商用到这种方式上,真的可悲呀
mineralsalt
    326
mineralsalt  
   2023-07-25 16:33:43 +08:00
上新闻了, 我刚刚在今日头条上刷到 IT 之家发布的这个帖子
benjaminv
    327
benjaminv  
   2023-07-25 16:34:28 +08:00 via iPhone
@dsb2468 谢谢补充,我没有上当,拉一拉就知道这个窗口是不是真的这应当教育成日常操作。我只是很怀疑居然拿 cookies 就可以绕过登录验证。不过既然已经验证过,这块基本上是安全漏洞了。
benjaminv
    328
benjaminv  
   2023-07-25 16:36:51 +08:00 via iPhone
@benjaminv
@dsb2468 SSO 登录居然可以这样唤起😳
xdeng
    329
xdeng  
   2023-07-25 17:04:39 +08:00   ❤️ 1
@benjaminv 前面几页都分析透了
xingda920813
    330
xingda920813  
   2023-07-25 17:23:39 +08:00 via Android   ❤️ 4
@livid #313 #322 HeyYoGirls 攻击他人
emma3
    331
emma3  
   2023-07-25 17:55:58 +08:00 via Android   ❤️ 3
突然间一笔接一笔的大额消费也触发不了苹果的风控,我也是服气的。
DevHjz
    332
DevHjz  
   2023-07-25 19:54:14 +08:00
@alihbaba 对的,当时我也查到信息了,不知道能不能挖出什么有用的。
M2K4
    333
M2K4  
   2023-07-25 20:19:24 +08:00 via Android   ❤️ 3
二月初就有人反馈,现在都七月末了,能在商店活上半年也是厉害
ggmood
    334
ggmood  
   2023-07-25 21:03:08 +08:00 via iPhone
我的 apple id 开了二次验证给老人用,结果在老家随便找了个用验证码给我密码改了……
szzys
    335
szzys  
   2023-07-26 00:36:48 +08:00   ❤️ 2
已发给在美国果园研发上班的表弟,让其转给安全部门看看。反馈无后续的。
j20001112
    336
j20001112  
   2023-07-26 05:59:49 +08:00 via iPhone
@szzys 骗子不敢骗非中国大陆的,非中国大陆的苹果 ID 盗刷苹果 Uber 等公司都是直接退款不需要任何证据,即使苹果不退款还能找银行 visa 信用卡组织 chargeback 强制退款。只有中国大陆的银联苹果不退款,银联也不能 chargeback 。免密支付的微信支付宝就非常不安全。
ff8
    337
ff8  
   2023-07-26 08:26:21 +08:00
这又让我想起了当年 Xcode 下载慢,国内开发者都是网盘上下载被注入病毒的 XcodeGhost 。结果导致国内大量的 App 盗取用户的账号密码。作为一个超过十年的苹果 App 开发者,觉得这个真是太厉害的。这个流程上的漏洞是怎么被发现了,简直就是个天才。我真的没想到双重验证可以这样被逃过。
bksv
    338
bksv  
   2023-07-26 08:36:07 +08:00
1 、图一下方登录窗口第二行,正常 App 的 Sign in with Apple ,这里应该是 App 的名字而不是 appleid.apple.com
2 、通过 Face ID 鉴权成功后,窗口下方会有蓝色 Face ID 图标转变为圆圈中对勾图标的动画,动画下方有“完成”字样以提示登录成功,在系统界面已经提示登录成功的情况下,仍然在 APP 弹出的提示框中输入真实 Apple ID 登录密码(流程上本不需要输入),实测现在即使多次生物手段鉴权失败后,也是要求输入设备密码而不是 Apple ID 登录密码

Apple 应该通过技术手段确保登录 Apple ID 相关网站只能通过 Safari 浏览器进行,让第三方 App 拉不起图一这种对登录对象进行偷梁换柱的登录请求窗口
leefor2020
    339
leefor2020  
   2023-07-26 09:21:52 +08:00
@ggmood ,受信任设备改 Apple ID 的密码貌似都不需要验证码,可以直接改
mengdodo
    340
mengdodo  
   2023-07-26 09:42:38 +08:00
yime888.com
domain 注册人/机构:Xin Net Technology Corporation
ff8
    341
ff8  
   2023-07-26 09:49:25 +08:00
补充一下,我印象中后来的苹果开发者认证是需要实名认证的,还要 Developer 活体核验核验。如果苹果正视这个事情,给中国警方提供相关的线索,应该是可以把开发者和背后的整条产业链抓出来的
ff8
    342
ff8  
   2023-07-26 10:09:19 +08:00
在七麦数据中搜索 ”菜谱大全-小白学做菜下厨房助手“ 这里可以看到已经下架的 App 信息
morax0xyc
    343
morax0xyc  
   2023-07-26 10:14:38 +08:00 via iPhone
苹果居然允许 webview 里面调用受信设备 SSO…
这种逻辑漏洞能够被发现也是骗子够厉害
QKgf555H87Fp0cth
    344
QKgf555H87Fp0cth  
   2023-07-26 10:16:36 +08:00
苹果客服确实恶心,上次被恶心一次。
ff8
    345
ff8  
   2023-07-26 10:33:46 +08:00
在七麦数据中可以看到 “菜谱大全-小白学做菜下厨房助手” 。1.0 版本通过多个用户刷 5 星好评。顺着被删评论的用户的其他被删除评论可以发现:这些评论用户由专业做评论公司做的好评。有几个刷好评的 App 就是流氓软件,在不经意中导致用户被订阅和扣费。苹果是该大力整治开发者了,现在的机器审核和人工审核还是太弱了,如果再开发侧载后果不堪设想。
asm
    346
asm  
   2023-07-26 12:18:24 +08:00
@zhangqinting 我感觉这种都不算漏洞,就是获取到拿着官方的 cookie ,再钓鱼骗取密码。以前盗取 cookie 的太多了,现在都有重要验证都会再次使用密码。这个钓鱼做的好不好,是整个操作的关键点。
那个 XcodeGhost 是真牛逼。
qoras
    347
qoras  
   2023-07-26 12:45:42 +08:00
看起来差不多三件事:
1. 骗子要抓
2. 苹果的漏洞要修
3. 苹果应该给受害人退款
第 3 件事貌似最简单, 为什么实际操作起来这么困难, 有懂的大神么
lzgshsj
    348
lzgshsj  
   2023-07-26 13:34:17 +08:00   ❤️ 1
看到一篇公众号的总结,作为留档: https://mp.weixin.qq.com/s/G55w5UakMUcuhWyUPaHFYQ
apostles
    349
apostles  
   2023-07-26 13:46:18 +08:00   ❤️ 2
@qoras 我粗浅的理解:苹果可能类似于其他电信诈骗里银行的角色
苹果或者银行作为转账平台,有帮助追缴的道德义务,但可能没有法律义务
如果钱已经到对面账户,甚至被提现洗走了
苹果是不会自己垫付给你退款的
tuutoo
    350
tuutoo  
   2023-07-26 14:33:24 +08:00
菜谱大全 这个 app 举报了吗 有用吗?现在还能搜索到这 app 吗
dsb2468
    351
dsb2468  
   2023-07-26 14:37:36 +08:00   ❤️ 1
@tuutoo 这 APP 已经被下架了,历史数据: https://www.qimai.cn/app/appstatus/appid/1658240702/country/cn
jasonchen168
    352
jasonchen168  
   2023-07-26 15:09:49 +08:00
直接让苹果查这个开发者,他留的有电话。而且开发者付费,是有相关银行卡信息的,这个如果苹果想查,应该是能对应到人的
qoras
    353
qoras  
   2023-07-26 15:10:09 +08:00
@apostles 不过看其它人好像说, 在国外类似情况就会退款
fydpfg
    354
fydpfg  
   2023-07-26 16:15:10 +08:00   ❤️ 15
@szzys @Zy143L @Senorsen @AkaHanshan @ShikiSuen @tinytian @liveoppo @bksv @morax0xyc 我仔细调研和思考了一下 WebView 通过 SSO 登录这个安全模型,并且跟几个搞安全的朋友讨论了一下。我觉得这种钓鱼方式确实很有迷惑性,但本质上这里苹果的实现是没有安全漏洞的。

具体可以分成两部分讨论,一部分是 WebView 可以通过 SSO 登录是否有问题,第二部分是 SSO 登录是否应该允许绕过 2FA 。

关于第一部分,任意的 app 使用 WebView 加载网页,当网页需要跳转到第三方应用进行登录的时候,进行登录这个行为本身是很正常并且常见的。比方说,你在手机上 [Chrome 浏览器] 应用里面打开 [QQ 空间] 网页的时候,可以点击「通过 QQ 登录」按钮,这时 [QQ] 应用会被唤起,问你「是否使用当前账号来登录 [QQ 空间] 」。这是一个非常标准的 SSO 逻辑。

然后我换成另一个例子,你在手机上下载了一个 [超级单车] app ,然后它的首屏有「通过 QQ 登录」按钮,点击之后 [QQ] 应用被唤起,问你「是否使用当前账号来登录 [腾讯云] 」,你点了确认登录,然后你的腾讯云服务器被盗了。这个例子中问题在哪?在于用户没有意识到正在登录的是腾讯云就进行了授权。这里的 SSO 模型是没有安全漏洞的,唤起 QQ 应用来请求登录腾讯云这件事本来就是每个 app 都能做到的,不应该禁止也没有方便的方案可以禁止。

在本帖的案例中, [菜谱] 应用就是上面例子中的 [超级单车] , [Apple ID] 就对应 [QQ] , [appleid.apple.com] 就对应 [腾讯云] 。注意看楼主发的第一张图,写的清清楚楚是「你要通过 Apple ID 登录 appleid.apple.com 吗?」,就跟上面说的「你要使用 QQ 号登录腾讯云吗?」是完全一样的道理。用户没有认真看好登录的目标,就点了确认,这就是 user error ,而并非是苹果 SSO 的安全漏洞。当然,我承认这里对普通用户确实有很高的迷惑性。这里「通过 Apple ID 登录 appleid.apple.com 」其实更像「使用 QQ 号登录网页版 QQ 」,但其内在逻辑跟上面超级单车的例子是一样的。

这里我想强调一点,就是苹果账号在我的讨论中并没有什么特殊之处。就算你禁止了 WebView 来使用 Apple 的 SSO ,接下来就会有恶意 app 内嵌一个淘宝网页,唤起你的支付宝来登录淘宝,甚至唤起你的支付宝来登录支付宝网页版(我不知道实际上有没有这个登录渠道,但这里只是举例子来说明问题,有大量的 app 都有类似逻辑)。对于这种 Apple ID 之外的场景,其实 WebView 也并非必须的组件,恶意应用完全可以在 app 里面模拟登录的过程,甚至在服务器上跑个 headless 浏览器来转发请求都是可以的。

除了 SSO 这种授权登录钓鱼,还有很多类似的钓鱼方法也看起来像是安全漏洞其实不是。例如你下载了一个 [超超级单车] app ,然后 app 要求手机号登录,输入手机号之后,手机收到验证码:「 [腾讯云] 你的登录验证码是 123456 」。如果你输入了验证码,这个 app 理所当然就可以登录你的腾讯云后台,而且这种情形从腾讯云和手机运营商的角度都是无法彻底防止的。如果把 [腾讯云] 换成你不熟悉的 [XX 科技] ,其实还真就不好辨别,说不定这个 app 后台就是在用你的手机号登录某个网贷平台呢。

(题外话:我觉得国内运营商强制平台短信必须有方括号前缀,并且不能伪造前缀,从安全模型角度这是非常好的实践。我之前用 +1 手机号注册一些小众平台的时候,就遇到过没有任何前缀的验证码短信,这种验证码我根本不敢输入,因为理论上它完全有可能把验证码请求 proxy 到了另一个平台的验证码接口,偷偷在用我手机号登录其他平台。另外,我认为所有的人脸验证都应该要求用户读出平台的名字,不然一个恶意应用就可以直接靠 proxy 这种方式在后台偷偷进行另一个平台的人脸验证。感觉绝大部分用了人脸验证的 app 开发者都没有意识到这里的鉴权安全模型问题,可能需要做安全的人来多多宣传一下。)

回到第二个问题,SSO 登录是否应该允许绕过 2FA ?这个问题我看了一下我常用的国内外账号,其实很多账号进行授权登录/扫码登录另一台设备的时候都是不要求输入 2FA 验证码或者(对于国内平台)短信验证码的。我觉得这里确实可以加强一下安全性,但是苹果现在的逻辑显然算不上是安全漏洞或者缺陷。

综上,我个人觉得本帖的问题虽然迷惑性确实很强,但还是应该算 user error ,并非安全漏洞。如果加缓解措施的话,只是缓解了一个特定的钓鱼方式而已,如果用户一直不理解 SSO 授权时应该检查的东西,那么还是不能彻底防止类似问题在其他平台或者其他场景下再次发生。
FreshOldMan
    355
FreshOldMan  
   2023-07-26 16:26:57 +08:00   ❤️ 1
如果用 rn 热更新的技术,那无论苹果怎么审核都没用,随便热更改代码
maemolee
    356
maemolee  
   2023-07-26 16:50:44 +08:00
太可怕了喔
dsb2468
    357
dsb2468  
   2023-07-26 17:13:51 +08:00
@fydpfg 有一点我想说下,如果苹果家庭账号主账号绑定的是支付宝(绑定其它支付方式我未确认,不确定),加入家庭组的账号在首次购买东西时,主账号的 Apple ID 绑定的手机号会收到验证码提示,如果不能获得这个验证码,家庭成员的账号是没法支付成功的,这个策略能很好的防止这种私自加入家庭组后,直接支付的情况。

回到题主母亲遇到的这个情况,不清楚题主是不是绑定的支付宝、以及他母亲的账号是否之前支付成功过(因为家庭成员账号非首次支付的话,就不需要验证码了)。
liveoppo
    358
liveoppo  
   2023-07-26 17:28:57 +08:00
@fydpfg

oath 登录时弹出的对话框有没有类似伪造?每次 OAuth 调起 GitHub 登录时,我都会仔细看对话框上面的地址栏,但实际上这个也是可以伪造的,对吧?
airycanon
    359
airycanon  
OP
   2023-07-26 17:30:51 +08:00
@dsb2468 绑的是微信支付,对方在别的设备上登录了,并且抹掉了我家人的设备。
mfaner
    360
mfaner  
   2023-07-26 18:46:38 +08:00 via Android
@fydpfg 安卓下测试了一下你提到的 qq 空间,不管从什么浏览器或者 webview 拉,qq 都给你跳系统默认浏览器了
Floraer
    361
Floraer  
   2023-07-26 19:17:47 +08:00
开发者账户是实名的,收款信息也有就看苹果是不是配合了
mfaner
    362
mfaner  
   2023-07-26 20:55:37 +08:00 via Android
@fydpfg 意思苹果允许给任意外部请求授权了自己的完整账号访问权限是吗,如果这样我感觉可以改一改。

测试了安卓网页腾讯云拉 qq 登录完了跳默认浏览器,网页阿里云拉支付宝登录完在支付宝内的 webview 开了阿里云。是否方便给个可以测试的例子?
Senorsen
    363
Senorsen  
   2023-07-26 22:18:17 +08:00   ❤️ 4
@fydpfg 不一样的,我认为这里混淆了问题的本质。苹果的问题是在 WebView 登录 Apple ID/iCloud 网站后,App 竟然可以拿到 iCloud 内的凭据/Cookie ,这破坏了信任的边界。而标准的 SSO 是有边界的,不会让你拿到不该拿的权限。

普通用户是远远做不到防范这种问题的。
x1aoYao
    364
x1aoYao  
   2023-07-27 14:14:05 +08:00
@Floraer 关注一波,看这个开发者什么时候被抓进局子
x1aoYao
    365
x1aoYao  
   2023-07-27 14:25:06 +08:00
@x1aoYao 不过境外手机号... 这种电诈的钱估计很难追回来了
jsq2627
    366
jsq2627  
   2023-07-28 09:43:40 +08:00   ❤️ 2
@fydpfg 这里提到的“恶意 app 内嵌一个淘宝网页,唤起你的支付宝来登录淘宝,甚至唤起你的支付宝来登录支付宝网页版”,实际上从 webview 拉起淘宝/支付宝/微信登录后,并不能回到原来的 app ,而是限制了只能回到 safari (即:app webview -> 拉起淘宝/支付宝/微信 -> 完成登录 -> 跳转 safari 打开 callback url )。和这个案例里的风险不完全一样。

不过现在各大网站在推广 passkeys ,这个案例的攻击手法也适用于 passkeys ,利用隐匿 webview 拉起 passkeys 登录,然后偷 cookie 。
其实本质上这个行为和“在不信任的 webview 里输入用户名密码”一样,正常人在看到一个不信任的 app 向自己索要密码,是有防范意识的;但是把这个索要密码的行为换成索要一次 face id 扫脸,就很有迷惑性了,因为 face id 扫脸行为是在系统级弹窗进行的,会给人“很安全”的感觉。
francecil
    367
francecil  
   2023-07-28 11:08:46 +08:00   ❤️ 1
浅浅分析了下这个事件 https://juejin.cn/post/7259966116268032058 - 漏洞分析 | 防护技巧
accelerator1
    368
accelerator1  
   2023-07-28 12:29:43 +08:00
怎么说能,骗术的确很厉害,但是如果懂技术安全的人,看到那个输入 AppLeID 的弹出框就不会继续了,不说拼写错误,就弹出的那个输入法就根本不对。
但是你要教会父母辈的,其实有点难。
gw518888
    369
gw518888  
   2023-07-28 14:17:23 +08:00
想起之前有个帖子说微信小程序上的 apple store 可以登录 apple id ,apple 不会是为了这个开放了这种快捷登录方式吧
Garphy
    370
Garphy  
   2023-07-28 18:07:08 +08:00
黑产是真的厉害···
Findurway
    371
Findurway  
   2023-07-28 18:35:51 +08:00
@dearmymy 之前听说 apple 内鬼协助他人退款。
dabai0806
    372
dabai0806  
   2023-07-28 21:08:39 +08:00
apple store 每年收那么多钱, 还有这么严重的漏洞
yhvictor
    373
yhvictor  
   2023-07-29 15:03:25 +08:00
@fydpfg 你这个第一部分的说法并不正确。
webview 并不应该被用来登陆第三方 app/网站。这是浏览器该做的事情。
我觉得你的安全朋友似乎不太靠谱。
zdgan
    374
zdgan  
   2023-07-31 13:23:16 +08:00 via Android
@TerryRobles 如何取消?
vishell
    375
vishell  
   2023-07-31 15:39:59 +08:00
@leefor2020 用 yubikey 也没办法避免这个漏洞么?
leefor2020
    376
leefor2020  
   2023-07-31 15:44:31 +08:00
@vishell ,我感觉是的
看起来是在受信任的设备上调用 webview 登录的话,根本走不到 2FA 这一步
vishell
    377
vishell  
   2023-07-31 15:48:08 +08:00
明白了,这个苹果重大责任啊
Mexion
    378
Mexion  
   2023-08-03 18:35:58 +08:00
怕了,我也经常不注意就输密码
catchmeeeeee
    379
catchmeeeeee  
   2023-08-15 13:24:41 +08:00 via iPhone
想知道 apple 密码泄露的渠道有哪些?
1. 没越狱
2. 不从非法渠道下载应用
3. 防撞库所以设置的密码和其他平台不同
4. 没有在钓鱼网址输入过密码
但是 appleid 已经被异地登录多次了,改了密码对方也能登录,每次都是点拒绝倒也没损失。不过我很好奇密码怎么泄露的,连客服都说我这是小概率事件。
catchmeeeeee
    380
catchmeeeeee  
   2023-08-15 14:16:35 +08:00 via iPhone
@francecil 在 cookie 被偷取后,修改密码,原 cookie 会失效吗?我遇到了类似的情况:appleid 被多次异地登录,修改密码也阻止不了他……
catchmeeeeee
    381
catchmeeeeee  
   2023-08-15 14:31:45 +08:00 via iPhone
@francecil 在 cookie 被偷取后,修改密码,原 cookie 会失效吗?我遇到了以下的情况:appleid 被多次异地登录,修改密码也阻止不了他……
Daydreamed
    382
Daydreamed  
   2023-09-28 16:56:04 +08:00
@airycanon 您好,我也是这个事情的受害人,想了解怎么联系苹果官方退款,我们可以加个账号联系一下吗?
airycanon
    383
airycanon  
OP
   2023-10-07 09:54:41 +08:00
@Daydreamed 可以加我微信,和 V2EX 同号。
aldj888
    384
aldj888  
   349 天前
真的太高明了又学习了
DOMO
    385
DOMO  
   254 天前
ios17.3 新增的失窃设备保护是不是能够防止这种情况,任何关键安全操作必须要生物识别信息确认不能用密码替代
1  2  3  4  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1965 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 34ms · UTC 16:14 · PVG 00:14 · LAX 08:14 · JFK 11:14
Developed with CodeLauncher
♥ Do have faith in what you're doing.