目前网上对于智能手机的普遍认知是,iPhone安全性要高于安卓机,加上苹果在iOS系统中对用户隐私保护所实施的一些措施,iPhone较为安全已经深入到很多人的内心想法中,可近日在程序员社区V2EX却爆出一条让所有果粉都较为不安的消息,那就是苹果引以为傲、被很多果粉认为万无一失的双重验证也变得不那么有效了。
该问题一经爆出,随即就成为了网上的热门话题,如果连iOS系统双重验证都不再安全,那果粉还有什么可以相信的呢?
有国内某技术组对此事进行了测试,结果是可以重现,证实了该问题的真实性,重要的是,此漏洞还难以防范,也就是说如果有人对某部iPhone进行针对性攻击,会有较高成功率。
对于双重认证,苹果用户应该是非常熟悉的,这是Apple ID及密码安全的一道重要防线,一旦失守,后果是比较严重的,还有更重要的一点,不知道各位注意到了没有,V2EX社区爆料者声称家人的手机Apple ID双重认证被攻破后,不仅大量资料被抹除,还将设备恢复了出厂设置,一旦某些资料没有保存,这么一来就等于永久丢失了。
而且爆料者声称钱财被窃取速度非常快,在不长时间内,就连续产生了20笔订单,损失金额高达1.6万元。
而且类似APP居然能骗过AppStore严格审核并上架,这是让人最难以防范,谁能想到可以在AppStore上架的软件居然不能保护Apple ID及密码的安全,本人真的从未现过这样的问题。
网上有人总结了该漏洞的工作原理,那就是用apple账号登陆获取邮箱,用假弹窗获取密码,用隐藏的webview绕过2fa。
但也有警惕心超强的网友碰到过和V2EX社区爆料者同样的APP,在故意输错apple id及密码情况下依然通过认证,于是认定该APP有重大安全隐患。
本人也去看下了该APP,如果能仔细分辨一下,还能防范的,比如以下这张就是V2EX社区爆料者提供的图片,各位看出什么问题了没?没错,图片中的是AppLe ID,正确的写法应该是Apple ID,如果有人没发现这一点,还有另一个方法可以防范。
一旦在iPhone上任何页面出现要求输入Apple ID,可以点击home键或通过上滑手势测试一下,只要能退出的都是钓鱼诈骗。
相信苹果也应该知道了这个重大安全漏洞,只是什么时候修复就不知道了,在未修复前,各位iPhone用户在日常使用中一定要谨慎小心,Apple ID及密码失守可不是闹着玩的。
原文标题 : iPhone再爆重大安全漏洞,双重验证也不安全了!