苹果iPhone曝重大漏洞：Apple ID开启双重验证仍被盗刷

近日有网友爆料称，自己丈母娘的iPhone手机开启了Apple ID双重验证，但仍然被钓鱼盗刷。据该网友介绍，事件发生在7月12日晚上23点左右，丈母娘的iPhone突然被重置，手机收到了银行短信。经过联系银行和微信支付进行冻结后，已经有20多笔订单被盗刷，共计1.6万元，并立即报警。

Apple iPhone 14 Pro (A2892) 128GB 暗紫色 全网通5G 双卡双待手机合约Z【支持全网用户办理】

[经销商]京东商城

【资料图】

[产品售价]￥7399元

进入购买

Apple iPhone 14 Plus (A2888) 128GB 星光色 支持移动联通电信5G 双卡双待手机

[经销商]京东商城

[产品售价]￥6199元

进入购买

该网友分析认为，很可能遇到了钓鱼行为。丈母娘在7月11日下午在App Store下载了一个名为“菜谱大全”的APP，登录方式是通过Apple ID授权，该APP出现了一个类似密码输入框的弹窗，骗取了Apple ID的密码。令人惊讶的是，整个登录过程竟然没有出现双重认证的弹窗。该网友联系了苹果客服，要求查询有关Apple ID被盗的事宜，但被告知无法查询相关记录。

对此，BugOS技术组表示该漏洞确实存在：“我写了代码试验，真的不会弹窗”。该技术组还解释了绕过双重认证的原理：第三方应用可以打开一个用户看不见的网页，利用隐藏在界面下层的控件来控制用户的操作，例如打开Apple ID设置网页。如果用户的手机是Apple ID的受信设备，则在打开该网页时无需进行双重认证，只需要扫脸即可顺利登录。

针对该问题，一些网友提出了以下对策：

Apple ID不要绑定银行卡，只绑定支付宝，但需要注意每月免密支付有限额；App Store和iCloud登录使用不同的Apple ID；不要开启iCloud的查找功能，虽然该功能可以及时锁定设备，但若Apple ID被盗（或添加了受信任的号码），对方也可以锁定和抹掉用户的设备。

这一事件提醒用户在使用Apple ID时要保持警惕，并采取相应的安全措施，以保护个人信息和资金安全。

关键词：