7月24日,有网友发帖称其家人iPhone
在开启Apple ID双重认证的情况下
仍被不法分子骗得管理权限
且被盗刷20多笔订单,涉及金额约1.6万元
事件迅速引起国内多个技术爱好团队关注。经当事人和技术爱好团队分析,不法分子极有可能利用了iPhone便捷登录功能的逻辑漏洞,绕过验证机制骗取受害者Apple ID权限,进而盗刷账户。经多次申诉后,7月27日晚,苹果公司对被盗刷订单进行了退款处理。
网友反映其家人的iPhone在开启双重认证的情况下仍被盗刷。7月24日,一条关于开启Apple ID双重认证后仍被“钓鱼诈骗”的帖子引起国内多个技术爱好团队关注。据发帖网友反映,7月12日晚,其家人发现手机突然被恢复出厂设置,且陆续收到来自银行的支付短信通知,随即紧急冻结支付账户并报警求助,但仍被不法分子成功创建20多笔虚拟商品订单、盗刷约1.6万元。诡异的是,据发帖网友称,被盗刷手机此前已经开启Apple ID双重认证功能,即新设备首次登录Apple ID时须同时提供账号密码和设备验证码。但不法分子成功绕开了这一验证机制,在受害者未察觉的情况下获取Apple ID完整权限,并利用免密支付功能盗刷账户资金,甚至能够远程控制受害者iPhone恢复出厂设置。因此怀疑iPhone存在安全漏洞。
不法分子是如何绕开验证机制、获取目标账号权限的呢?记者联系上该名发帖网友,综合当事人回忆与数个技术爱好团队的分析,尝试定位不法分子利用的漏洞。据当事人介绍,事发后,其尝试对整个骗局进行复盘,认为事件起因在其家人从苹果官方应用商店App Store下载安装了一个伪装成菜谱类应用的涉诈App。随后该App利用受信任iPhone内置浏览器组件申请访问Apple ID管理后台无需双重认证这一漏洞,对其家人发起“钓鱼诈骗”。“BugOS技术组”“差评”等数个国内技术爱好团队均留意到该事件,并尝试根据当事人描述和相关线索还原诈骗手法。测试结果印证了当事人的描述。7月24日下午,“BugOS技术组”发布微博称,已成功复现此诈骗流程。经测试,在受信任设备,即受害者本人使用的iPhone上,第三方App可以利用内置浏览器组件拉起Apple ID管理后台的一键登录弹窗,且不会触发双重认证功能。不法分子只需将该登录弹窗伪装成单纯的App账号登录弹窗,诱骗受害者点击同意,之后再利用虚假输入框等方式骗取密码,即可完全绕开安全验证机制。
“BugOS技术组”证实受信任设备利用内置浏览器组件访问Apple ID管理后台不会触发双重认证。
有技术爱好者分析后表示,该骗局综合利用了iPhone双重认证与内置浏览器组件便捷登录功能的漏洞,将Apple ID管理后台的每一步权限申请都伪装成注册登录App的正常流程,一步步诱骗受害者在本人手机上完成敏感权限的转让,因此未能触发双重认证功能。与一般的网络攻击相比,这类骗局更接近于社会工程学诈骗。
苹果官方支持网页信息显示,受信任设备不会被要求输入验证码。
“差评”团队也认为,在该事件中,受害者固然有未仔细阅读弹窗说明便输入密码的过失,但苹果公司允许第三方App借助手机内置浏览器组件的便捷登录功能,拉起针对Apple ID管理后台等敏感网页的一键登录弹窗,是导致该骗局得以实现的重要原因,“它不是代码漏洞,而是一个逻辑漏洞”。针对此诈骗手法,“差评”团队分别对iOS和Android系统的内置浏览器组件便捷登录功能进行了测试。结果显示,Android系统仅在用户直接使用内置浏览器登录账号时才能触发便捷登录,其他第三方App则无法调用该功能。换言之,该骗局仅能在iOS系统上实现。
“差评”团队测试发现,同类骗局无法在Android系统上复现。
发帖网友表示,其在事发当晚已报警,并向记者出示了来自警方的立案告知单。此外,他还就被盗刷的订单向苹果公司申请退款。经多次申诉后,7月27日晚,苹果公司对相关订单全部进行了退款处理,但未就此事联系当事人作进一步解释。
发帖网友向记者出示的立案告知单。
记者留意到,涉事App已于7月25日从App Store下架。但历史数据显示,该App最早发布于2022年12月9日,且截至下架前有991条评分记录。今年2月,已有用户在App Store评论区反映其安装该App后收到账号异地登录和异常订单提醒,更有用户直指该App是诈骗软件。到底有多少用户遭遇过同类骗局并蒙受损失,仍是未知数。
用户反映安装涉事App后收到账号异地登录和异常订单提醒。
“差评”团队也指出,在App Store内搜索菜谱类应用,可以发现大量应用介绍与实际内容不符的App,苹果公司对上架应用的审核存在明显漏洞。
“差评”团队指出App Store内存在大量应用介绍与实际内容不符的App。
记者从苹果官方支持页面留意到,苹果公司已于7月27日为iOS 16.6版本和iPadOS 16.6版本添加多个快速安全响应,其中包括解决“网站可能能够跟踪敏感的用户信息”“处理web内容可能导致任意代码执行”等问题。相关快速安全响应是否已阻止前述“钓鱼诈骗”手法,仍有待进一步测试。
7月27日,苹果公司为iOS 16.6版本和iPadOS 16.6版本添加了多个快速安全响应。
记者留意到,近年,电信网络诈骗手段层出不穷,成为公众关注焦点。我国正不断完善立法体系,加强打击网络犯罪。2016年12月19日发布的《最高人民法院 最高人民检察院 公安部关于办理电信网络诈骗等形式案件适用法律若干问题的意见》明确指出,“利用‘钓鱼网站链接’‘木马’程序链接、网络渗透等隐蔽技术手段实施诈骗”属于实施电信网络诈骗犯罪酌情从重处罚情节之一。
2017年6月1日起施行的《网络安全法》规定,网络产品、服务的提供者不得设置恶意程序。违者由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款。2022年12月1日起施行的《反电信网络诈骗法》规定,设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续。为应用程序提供封装、分发服务的,应当登记并核验应用程序开发运营者的真实身份信息,核验应用程序的功能、用途。违者由有关主管部门责令改正,情节较轻的,给予警告、通报批评,或者处五万元以上五十万元以下罚款;情节严重的,处五十万元以上五百万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照。
重要提醒:注意弹窗说明文字!
控制免密支付最高限额!
作为普通用户,面对这类App“钓鱼”骗局有何防范方式?记者综合数名网络安全专家看法,整理了一些防范建议。首先,用户发现手机出现权限申请等弹窗时应当留意相关说明文字,看该弹窗具体由哪个App发起、索要哪些权限。以iPhone为例,弹窗会提醒用户正在登录的具体网页或App,若弹窗指向目标与用户当前操作不符,则应及时拒绝该申请。
iPhone内的登录申请弹窗会显示正在登录的具体网页或App,用户可注意相关提示。
其次,不法分子通常不会在涉诈App中直接使用手机品牌、厂商名称等关键词,以降低被应用商店和手机厂商人工复核的概率。因此,涉诈App的虚假界面内经常会出现错别字或异常符号,用户输入敏感信息前应着重留意App或网页内的logo、品牌名等位置是否存在异常。以上述骗局为例,不法分子为躲过苹果应用商店的审核,伪装的密码输入界面文字为“AppLeID”,而非“Apple ID”。
不法分子伪装的密码输入界面。可注意界面上方文字为“AppLeID”而非“Apple ID”,下方说明文字为“登陆”而非“登录”。(受访者供图)
此外,个人用户在下载安装App时,应当注意其开发者信息、评论留言等相关背景资料。如非必要,不要下载一些上架时间短、下载量少、开发者也不知名的应用。最后,手机免密支付功能具有一定的便利性,但同时也易被不法分子视为安全机制的突破口。个人用户可基于日常消费习惯,合理设置免密支付最高限额,尽可能降低账号被盗后的资金损失。“BugOS技术组”也提供了一条简单易行的反诈技巧:若iPhone上出现输入Apple ID密码的弹窗,可尝试退出操作,能退出的都说明不是iOS的系统级弹窗,极有可能涉及诈骗。
