【资料图】

7月25日，一位网友爆料，其丈母娘的iPhone手机尽管开启了Apple ID双重验证，但仍然被钓鱼盗刷。据该网友介绍，7月12日晚23点，丈母娘的iPhone突然被抹掉资料，变成出厂设置状态，手机陆续收到银行短信。他们立即联系银行和微信支付进行冻结，但已经产生了20多笔订单，共计1.6万元。 该网友分析，丈母娘可能是在下载名为“菜谱大全”的APP时，被骗取了Apple ID的密码。令人惊讶的是，全程并未弹出双重认证的弹窗。他联系了负责Apple ID的客服，但被告知无法查询到被盗记录。 对此，BugOS技术组证实了这一漏洞的存在，并解释了绕过双重认证的原理。他们表示，第三方应用的开发商可以打开一个用户看不见的网页，然后用其他图片或按钮将其挡住。这个控件可以访问任何网页，控制网页上的任何操作，并获取网页上的各种信息。如果手机是Apple ID的受信设备，打开网页时是不需要进行双重验证的，只需要扫脸就可以顺利登录。 针对此类情况，有网友给出了应对办法：1、Apple ID不绑银行卡，只绑支付宝，但每月免密支付有限额；2、App Store 和 iCloud 登录的不是同一个 Apple ID；3、iCloud没开查找，虽然这可以在设备丢失时及时锁定，但如果ID被盗，对方也可以锁定和抹除手中的设备。