V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
airycanon
V2EX  ›  问与答

家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒

  airycanon · 2023-07-23 21:46:37 +08:00 · 53177 次点击
这是一个创建于 522 天前的主题,其中的信息可能已经有所发展或是发生改变。

时间线

7 月 12 晚上发生的事情,

  • 23:33 ,丈母娘的手机突然被抹掉了资料,变成出厂设置的状态。
  • 23:35 ,她拿手机找我给她看看,我以为是苹果系统问题,开始给她重新设置。
  • 23:36 ,在设置的过程中,手机陆续收到了短信通知,我发现其中有银行、支付等字样。
  • 23:37 ,开始意识到事情不太对,赶紧联系银行和微信支付冻结。
  • 23:40 ,等到冻结完毕,已经产生了 20 多笔订单,共计 1.6w 。
  • 23:50 ,报警之后,到社区派出所立案。
  • 01:10 ,立案过程中,我在 Apple Store 的退款渠道提交了退款。

被盗经过

之前一直以为开了双重认证就高枕无忧,经过排查后,基本确定是被钓鱼了:

  • 丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。

  • 7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图

  • 接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图

  • 有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。

  • 登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证,如图

  • 到这一步,他已经掌握了受害者 Apple ID 的所有权限。

  • 接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品,如图

疑问

整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。

尝试退款

我在 Apple 400 客服尝试了多种方式,最终都失败了:

  • reportaproblem.apple.com 页面申请退款,申请后联系客服告知被拒绝。
  • 找负责 App Store 订单的客服,要求升级高级顾问,告知这是最终结果,升级也没有意义,被拒绝。
  • 找负责 Apple ID 的客服,曲线救国,要求查询 Apple ID 被盗的问题,被告知查不到记录。
  • 由负责 Apple ID 的高级顾问转到负责 App Store 订单的高级顾问,和该顾问扯皮了 2 小时,被拒绝。

目前还能尝试的方式:

  • 打 12315 反馈
  • 在工信部违法和不良信息举报中心投诉
  • 起诉苹果
第 1 条附言  ·  2023-07-23 22:34:11 +08:00
补充一下:
抹除设备是为了防止盗号者在支付的时候,受害者微信出现支付通知。
评论区有大佬提到,如果这个 APP 有截屏,可以截到双重认证的弹窗并上传,并不需要 Apple ID 所有者主动提供验证码。
第 2 条附言  ·  2023-07-23 23:05:29 +08:00
这个 App 的权限只有两个:Siri 与搜索,无线数据
第 3 条附言  ·  2023-07-24 11:05:02 +08:00
抓包看了下,app 会访问这个 app.yime888.com ,有没有大佬有兴趣爆破一下。
第 4 条附言  ·  2023-07-24 13:27:35 +08:00
89 楼的大佬,给了一个绕过双重认证的思路,感觉是比较靠谱的。
第 5 条附言  ·  2023-07-24 15:14:46 +08:00
感谢各位大佬,目前差不多搞清楚对方是如何绕过双重认证的:
对方在 App 内置了一个 Webview ,然后访问 appleid.apple.com/sign-in ,这一步系统会出现 Apple ID 的弹窗,如果人脸识别通过了或者输入了正确的密码,这个页面就登录了(可以理解为在内置的 safafi 打开了 Apple ID 的登录页面)。

接下来会出现密码弹窗,受害者输入密码之后,这个 Webview 可以注入一些 js 获取到 Cookie ,然后访问 appleid.apple.com/account/manage ,通过一些自动接收验证码的机制,配合 Cookie 和密码,就可以在受害者 Apple ID 的信任号码中加入他自己的号码,用来接收双重认证的短信。
第 6 条附言  ·  2023-07-25 16:35:06 +08:00
最新情况:
昨天通过工信部提交投诉之后,一个苹果行政关系部的人联系我,说是会帮我处理退款的事,刚刚告知了我处理结果,还是拒绝了,目前只剩下起诉这一条路了。
第 7 条附言  ·  2023-07-27 18:50:28 +08:00
最近情况:苹果刚刚把我家人的所有被盗订单都退款了,但是还没有跟我联系,感谢大家的支持。
385 条回复    2024-04-16 15:23:06 +08:00
1  2  3  4  
unafraid7580
    1
unafraid7580  
   2023-07-23 21:57:04 +08:00 via Android
闻所未闻,骗子手段咋这么高明
jaTomn
    2
jaTomn  
   2023-07-23 22:00:08 +08:00
蹲一波后续
xinh
    3
xinh  
   2023-07-23 22:10:02 +08:00 via iPhone
添加双重验证号码过程是怎么样的呢
yyzh
    4
yyzh  
   2023-07-23 22:10:46 +08:00 via Android   ❤️ 3
这都能躲过审核的么
shinsekai
    5
shinsekai  
   2023-07-23 22:11:30 +08:00
不需要丈母娘输入验证码。双重认证的弹窗中应该已经包含验证码。如果此时 app 进行自动截屏,识别,在后台登录成功后验证码弹窗会自动关闭。
tediorelee
    6
tediorelee  
   2023-07-23 22:16:37 +08:00
这手段厉害
smlcgx
    7
smlcgx  
   2023-07-23 22:22:09 +08:00 via iPhone
是不是骗子添加了其他设备用于验证码显示?
qzydustin
    8
qzydustin  
   2023-07-23 22:23:26 +08:00   ❤️ 27
如果事情真是这样,AppStore 有很大漏洞,应该需要苹果负责
airycanon
    9
airycanon  
OP
   2023-07-23 22:25:09 +08:00
@shinsekai 没想到还有这种方法,如果是这样的话,这个 APP 是不是需要屏幕录制的权限,我查看了它的权限,并没有这一项。
airycanon
    10
airycanon  
OP
   2023-07-23 22:26:16 +08:00
@xinh 这个应该是 Apple ID 登录之后的事情了,已经登录的话,可以做任何操作。
airycanon
    11
airycanon  
OP
   2023-07-23 22:26:52 +08:00
@smlcgx 据我分析一开始是没有的,登录上之后才加的其他设备。
bobryjosin
    12
bobryjosin  
   2023-07-23 22:33:18 +08:00
有可能就是主动给验证码了至于方法就不知道了,可能是短信不一定是双重验证弹窗,iPhone 正常在 apple id 添加添加验证号码会需要输入 iPhone 的锁屏密码,但是网页不需要,给了密码和验证码可以直接改,不过我绑定的是物理安全密钥,两把都在我这边,其他地方登陆只能拿物理密钥 2fa 才行,这样的话盗取难度就大了吧。
airycanon
    13
airycanon  
OP
   2023-07-23 22:37:04 +08:00
@bobryjosin 大佬的意思是,在网页端,只要有账号密码,就能添加信任号码么,但是按我的理解,即使有账号密码,也是要登录的,登录就会触发双重认证。
airycanon
    14
airycanon  
OP
   2023-07-23 22:37:55 +08:00
@bobryjosin 不好意思,理解有误,忽略我的问题。
HUZHUANGZHUANG
    15
HUZHUANGZHUANG  
   2023-07-23 22:38:49 +08:00   ❤️ 3
我也觉得苹果退款很恶心.貌似就第一次给退,后续就会直接拒绝
dearmymy
    16
dearmymy  
   2023-07-23 22:40:11 +08:00
@shinsekai app 应该没有截图全屏权限吧。弹出得双重按钮不属于 app ,属于系统进程。
dearmymy
    17
dearmymy  
   2023-07-23 22:51:16 +08:00   ❤️ 1
“有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。”
现在主要这一步。
我个人感觉是老年人一时糊涂被 app 诱导输入了验证码。她现在脑子自我保护意识,让她认为她没输入。
开了双重,任何其他新设备登录肯定会触发双重得。
还有种可能,只有账户密码看看能不能单独登录 icloud 邮箱。你看看你 icloud 邮箱有没有什么特殊邮件。
在有你说下但是设备 ios 得版本。
dearmymy
    18
dearmymy  
   2023-07-23 22:52:48 +08:00   ❤️ 4
@HUZHUANGZHUANG 国内退款当年 一个小工作室一年能赚上亿,你敢信。。苹果正常售后应被国人搞成这样
zhouweiluan
    19
zhouweiluan  
   2023-07-23 22:55:12 +08:00   ❤️ 23
这钓鱼 App 能被上架到 App Store... Apple 重大责任
swulling
    20
swulling  
   2023-07-23 22:58:56 +08:00
双重认证可以选择发短信,如果具备短信读取权限的话是没问题的。
airycanon
    21
airycanon  
OP
   2023-07-23 23:00:47 +08:00 via iPhone
@dearmymy 兄弟说得有道理,一开始这个密码弹窗,她也不记得,是我自己一点一点查到的。
airycanon
    22
airycanon  
OP
   2023-07-23 23:01:53 +08:00 via iPhone
@swulling 看了下,这个 app 也没有读短信的功能。
ZRS
    23
ZRS  
   2023-07-23 23:04:18 +08:00
双重认证就是通过可信设备/渠道进行认证,你这设备用于在应用中登陆 apple id ,本身就是可信设备了,自然不需要其他设备或渠道进行认证。
swulling
    24
swulling  
   2023-07-23 23:04:51 +08:00 via iPhone   ❤️ 2
@airycanon 那很可能是被诱导填了验证码。

受害者这种心理防御很正常。
ZRS
    25
ZRS  
   2023-07-23 23:05:53 +08:00
哦确实在攻击者登陆时的验证问题没得到合理解释,截图也应该是拿不到验证码弹窗的
ZRS
    26
ZRS  
   2023-07-23 23:06:35 +08:00
感觉还是被诱导进行了什么操作,比如共享屏幕操作实际是骗取验证短信等
wdlth
    27
wdlth  
   2023-07-23 23:08:51 +08:00
https://support.apple.com/zh-cn/guide/iphone/iphd709a3c46/ios
看官网的介绍有一种离线方式,在离线的受信任设备上获取验证码,会不会是预先用什么方式登录过 Mac 。
forgottencoast
    28
forgottencoast  
   2023-07-23 23:18:14 +08:00   ❤️ 5
AppLeID ,这是不是为了骗过审核?
AppJun
    29
AppJun  
   2023-07-23 23:25:37 +08:00
截屏应该是截不到系统弹窗的。不然这个漏洞太大了。

估计你输入正确的密码之后,有额外的诱导二次验证信息的登记入口。
mineralsalt
    30
mineralsalt  
   2023-07-23 23:26:33 +08:00
我手机上也有个 “菜谱大全” , 应该不是你这个吧, 之前学做菜下载的
Danswerme
    31
Danswerme  
   2023-07-24 00:03:08 +08:00
这能过苹果审核?
delpo
    32
delpo  
   2023-07-24 00:10:10 +08:00   ❤️ 3
App"L"eID
请输入您的 ID 密码用于登"陆"

这是为了能过审还是因为根本没下功夫设计?
terence4444
    33
terence4444  
   2023-07-24 00:43:57 +08:00 via iPhone
可能是通过 iMessage forward 短消息拿到的?
yinmin
    34
yinmin  
   2023-07-24 01:14:46 +08:00 via Android   ❤️ 1
@airycanon 微信支付有“百万保障”,你可以试试申请理赔
dingdangnao
    35
dingdangnao  
   2023-07-24 01:16:03 +08:00 via iPhone   ❤️ 1
而且 家庭成员第一次在 App Store 消费是需要家庭管理员短信验证码的啊
WuSiYu
    36
WuSiYu  
   2023-07-24 02:32:34 +08:00   ❤️ 7
这种应用能进入 apple store 明显是苹果审核有很大的过失,往大了可以说影响到“苹果生态封闭所以安全”这个认知
zdgan
    37
zdgan  
   2023-07-24 05:17:34 +08:00 via Android
我觉得苹果好恶心,我的账号也拿不回来,还每年扣我 apple music 的钱,无论怎么申诉审核都不行,还一直弹窗要我输入账号密码,10 几年果粉从此弃坑。我自己的账号,我可以提供手机验证码,邮箱验证码,这还要审核两周,每次审核还不通过,我真服了
laydown
    38
laydown  
   2023-07-24 05:40:05 +08:00
你丈母娘是不是还另外做了一些别的动作,但忘记了呢。

双重认证是挺傻的,但如果自己不提供验证码给对方,或者点批准登录设备,对方也无法做什么事情的。
tin3w5
    39
tin3w5  
   2023-07-24 06:58:19 +08:00 via iPhone
上了岁数的人和不打技术的人都有一个共同段习惯——无论什么弹窗都会图省事,随便点一下,不行再点另一个。所以不排除她忘记了。
另外,不知道这个 app 有没有上非国区的 app store ,如果没上,不排除是国内开发者和国内审核人员的 py 交易。几年前在某私企工作的时候和 iOS 开发的兄弟混的很熟,听说当时只上架国区和上架全区的审核标准好像就不一样。
job32
    40
job32  
   2023-07-24 08:14:26 +08:00
盗号者在自己的 iphone 登录你丈母娘的 apple ID ,需要输入丈母娘手机上 apple ID 的验证码。没有授权是没办法登录的,知道账号和密码也没用。
airbotgo
    41
airbotgo  
   2023-07-24 08:35:33 +08:00   ❤️ 4
对于缺乏基本安全知识的长辈,最合适的做法是,重要账号要么不登录,要么密码自己掌握,需要装什么自己亲自操作。

你跟他们讲相关知识,对双方都是痛苦,不如简单化。

补充一个实例:
媳妇是安全小白,有一次 iPhone 在外面被偷了,我提醒她说,不要打开任何可疑的苹果短信、邮件链接。结果她还是点了钓鱼邮件链接,她的理由是邮件里面有苹果 logo……结果当然就是丢失的 iPhone 被解除了账号锁。
bianhui
    42
bianhui  
   2023-07-24 08:51:13 +08:00
没在手机上同意登陆是不可能登录上账号的。所以肯定是丈母娘点了。建议没收长辈的 appleid ,如果有 app 下载需求,你给他们下就行了。
KiseXu
    43
KiseXu  
   2023-07-24 08:56:13 +08:00
苹果客服挺恶心的,去年我给炉石充值,重复付款了 2 次,只有一笔到账了,实际扣款了 2 次。给苹果客服打了 N 个电话,都是说没法核实,无法退款(惊呆)。最后到 12315 网站投诉,第二天就把钱退我了。
allinschroe
    44
allinschroe  
   2023-07-24 08:57:24 +08:00
@dearmymy 自己测试了下,截屏可以截取到双重验证的弹窗,截屏也不需要屏幕录制权限
RanKaede
    45
RanKaede  
   2023-07-24 08:59:09 +08:00
可怕,苹果官方商店居然上架这种 app ,甚至出事情了一点保障都没。
V392920
    46
V392920  
   2023-07-24 09:04:22 +08:00
@allinschroe 我擦,这属于漏洞了吧?App 内部截系统级弹窗,还不需要权限
zhongjun96
    47
zhongjun96  
   2023-07-24 09:07:30 +08:00
@delpo #32 好像应用里有 Apple 字眼的话要单独声明,与 Apple 公司无关。用 `App"L"eID` 应该是为了规避这个
CommandZi
    48
CommandZi  
   2023-07-24 09:08:03 +08:00
@allinschroe 代码能发起截屏吗?
0ranger
    49
0ranger  
   2023-07-24 09:18:06 +08:00
有没有这个 app 的链接?
fnmgzbv2
    50
fnmgzbv2  
   2023-07-24 09:25:07 +08:00 via iPhone
脑波变弱时,最容易受骗…
mm163
    51
mm163  
   2023-07-24 09:30:11 +08:00
什么都实名都会员的结果,买个菜买个早点都推销会员,草。
yyf1234
    52
yyf1234  
   2023-07-24 09:31:31 +08:00 via iPhone
楼上说截屏的是认真的吗? app 能自己调用截屏?
mm163
    53
mm163  
   2023-07-24 09:33:19 +08:00
实名制之前,这类 app 要求登录就非常不正常了。
Jiajin
    54
Jiajin  
   2023-07-24 09:41:05 +08:00
@allinschroe 通过代码可以吗?自己手动截可能可以,代码应该不行吧
AppJun
    55
AppJun  
   2023-07-24 09:43:13 +08:00
@allinschroe 你自己主动操作当然屏幕里的内容都是能截屏……

但是从 iOS 第三方 App 角度,是无法截屏的。
oppoic
    56
oppoic  
   2023-07-24 09:49:21 +08:00   ❤️ 14



这个框判断真伪最好的防范就是:返回桌面

APP 内伪造的能返回桌面,苹果的弹框回不了桌面
TerryRobles
    57
TerryRobles  
   2023-07-24 09:56:53 +08:00
@zdgan 账号被盗了,然后还绑定着你的支付?
appleID 拿不回来正常,支付端那边的免密支付没有想着取消吗?
apple Music 价格挺高的
cexgwent
    58
cexgwent  
   2023-07-24 09:58:19 +08:00
好可怕,蹲后续
wydinhk
    59
wydinhk  
   2023-07-24 09:59:03 +08:00   ❤️ 10
注意图 1:通过 Apple ID 登录 appleid.apple.com ,而不是登录“菜谱大全”
airycanon
    60
airycanon  
OP
   2023-07-24 10:01:34 +08:00
@ZRS @AppJun @laydown @tin3w5 同意各位的说法,我丈母娘自己操作的可能比较大。
TerryRobles
    61
TerryRobles  
   2023-07-24 10:03:37 +08:00
验证码什么的应该也是钓鱼
第一个弹窗出现要求输入账号密码
然后同步进行登录
第二个弹窗出现要求输入验证码
TerryRobles
    62
TerryRobles  
   2023-07-24 10:09:29 +08:00
丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。

按照你的说法,不绑定个支付不行了。
ID 绑个信用卡吧,然后限制日限额

信用卡用你的,这样银行的短信也是发到你的手机上
airycanon
    63
airycanon  
OP
   2023-07-24 10:09:49 +08:00
@TerryRobles 说得有道理,我没有拿真实的 Apple ID 测试,如果输对了密码,也许真的有弹窗。
wulili
    64
wulili  
   2023-07-24 10:11:11 +08:00
AppLeID 。。。这钓鱼者细节没做到位呀。。
早些年没有双重验证的时候,这种钓鱼类型的弹窗非常容易中招
cxxxxx
    65
cxxxxx  
   2023-07-24 10:13:09 +08:00
@wydinhk 可能就是这个原因,我试了浏览器打开 appleid.apple.com 登录弹窗后直接点 “继续” 扫完面容后没有双重验证直接进去了。
296727
    66
296727  
   2023-07-24 10:16:47 +08:00
你丈母娘可能做了一些操作,然后没和你说,但是他没有骗你,因为他大脑中遗忘了这一部分
voyagefar
    67
voyagefar  
   2023-07-24 10:30:21 +08:00
感谢分享
miniliuke
    68
miniliuke  
   2023-07-24 10:33:49 +08:00
@zhongjun96 笑死了苹果审核 APP 的都是机器人?
TAFMT
    69
TAFMT  
   2023-07-24 10:34:03 +08:00
涨知识了
icepic
    70
icepic  
   2023-07-24 10:39:46 +08:00 via Android
这个就离谱了…

Apple ID 如果不绑定支付是不是好一点?
fnyael
    71
fnyael  
   2023-07-24 10:46:52 +08:00 via iPhone
这 app 多半也不是在 Apple Store 里下的
bGl2aWRubXNs
    72
bGl2aWRubXNs  
   2023-07-24 10:49:32 +08:00
我靠 这完全 apple 的锅,这种弹窗都能过审???
dididi9527
    73
dididi9527  
   2023-07-24 10:55:52 +08:00   ❤️ 1
涨见识了,这弹窗要是我也可能不小心输密码进去了,因为真苹果也老是闲着没事让你输密码,看来以后还是得先关注这个弹窗是不是真的才输。

另外通过苹果账号登录这是苹果后期强制 app 提供的登录方式,没想到反倒在这里变成泄露账号名的方式。
Gadmin
    74
Gadmin  
   2023-07-24 10:56:50 +08:00
@AppJun 刚才试了,验证码可以截到
airycanon
    75
airycanon  
OP
   2023-07-24 11:03:13 +08:00   ❤️ 1
@fnyael 我就是在 app store 里下载的,现在还是能下。
AppJun
    76
AppJun  
   2023-07-24 11:08:20 +08:00
@Gadmin Show me the code
dier
    77
dier  
   2023-07-24 11:18:26 +08:00
看了一下这个软件的评论,从 2 月份就有人说是一直要 AppleID 密码,这不得举报让他下架吗
bugmakerxs
    78
bugmakerxs  
   2023-07-24 11:26:57 +08:00
防不胜防。。
irainsoft
    79
irainsoft  
   2023-07-24 11:46:28 +08:00
这个算是比较难分别的钓鱼了,模仿苹果系统界面+要求用户输入 iCloud 密码,苹果居然能让这样的应用上架我觉得有责任的。

有一个问题是“他会把自己的号码,加入双重认证的信任号码中”这一步是 iOS 手机应用能靠自己权限完成的?
tyhunter
    80
tyhunter  
   2023-07-24 11:50:37 +08:00
看起来好像骗子钓鱼拿到了账户密码,并且把小号加入了家庭共享里面,然后通过购买 app store 里的虚拟产品从而套现(苹果中间还会收 30%的抽成)
首先建议把这个软件的链接发出来大家一起举报了
其次是不是老年人手机上不绑支付方式或者设置日限额能更好的避免?
lingaoyi
    81
lingaoyi  
   2023-07-24 11:57:49 +08:00 via iPhone
什么 app 菜谱大全我下载没有提示啊……
vokins
    82
vokins  
   2023-07-24 12:00:44 +08:00 via iPhone
1.检查一下把她所有免密支付渠道全部关闭,包括不限于饿了么美团拼多多抖音等 2.打开屏幕使用时间,内容与隐私限制,全部不允许,始终需要密码
FPL
    83
FPL  
   2023-07-24 12:05:00 +08:00 via iPhone
那个 app 链接可以发出来吗? AppStore 里面好多菜谱大全,看了一圈也没看到你说的那个,方便的话可以发出来看看吗?
chuck1in
    84
chuck1in  
   2023-07-24 12:12:46 +08:00
一直觉得 ios 很安全啊,竟然有这种问题?还是在 appstore 下载的?
IamUNICODE
    85
IamUNICODE  
   2023-07-24 12:20:55 +08:00
闻所未闻,先做个记号,待会仔细看
louistayd2
    86
louistayd2  
   2023-07-24 12:51:27 +08:00
iCloud 购买项目共享关掉。如果最后苹果不退款我感觉可以起诉的,app 非法了吧,App Store 应该有义务审核到吧
GHvyuR7N
    87
GHvyuR7N  
   2023-07-24 12:58:38 +08:00 via iPhone   ❤️ 1
文章非常工整,但是没有第一时间曝光 App 的下载链接,这让人非常困惑。
qzydustin
    88
qzydustin  
   2023-07-24 13:03:55 +08:00
最好的解决方式是复现恶意软件的过程,然后联系苹果客服,或者联系科技区 Up 主等公众人物。然后就等赔偿了
Archeb
    89
Archeb  
   2023-07-24 13:05:27 +08:00 via iPhone   ❤️ 58
我知道这个 app 是怎么做到的了

首先你观察图 1 的登录界面,登录的是 appleid.apple.com ,证明这里应该是有一个 in app 的 webview 打开了这个页面。然后你直接就用手机本身登录上去了(因为是本机鉴权,所以不需要 2fa )
然后第二步,骗取密码,然后 app 自动操作 webview 添加受信任手机号,这一步只需要密码即可。



所以你得丈母娘说没有弹出 2fa ,这应该是真的,因为整个流程确实不需要 2fa
Chengnan049
    90
Chengnan049  
   2023-07-24 13:17:01 +08:00   ❤️ 1
目前帖子较多,特地总结一下,感谢各位大佬的回复,无须对本楼进行点赞,对原楼点赞即可

47 楼 @zhongjun96:“好像应用里有 Apple 字眼的话要单独声明,与 Apple 公司无关。用 `App"L"eID` 应该是为了规避这个”我个人补充:这种弹窗能过审核真的是 6 了,Apple 软件开发最烦恼的就是商店审核;“登陆”的说法是错误的,正确说法是“登录”
77 楼 @dier:“看了一下这个软件的评论,从 2 月份就有人说是一直要 AppleID 密码”
56 楼 @oppoic:“”这个框判断真伪最好的防范就是:返回桌面,APP 内伪造的能返回桌面,苹果的弹框回不了桌面
59 楼 @wydinhk:“注意图 1:通过 Apple ID 登录 appleid.apple.com ,而不是登录 “菜谱大全””
89 楼 @Archeb 破案:应用是用了 In App WebView 打开了页面因为是本机鉴权,因此不需要 2FA ,骗取密码后自动操作并添加信任手机号码,只需要密码即可,整个过程不需要 2FA
41 楼 @airbotgo:“媳妇是安全小白,有一次 iPhone 在外面被偷了,我提醒她说,不要打开任何可疑的苹果短信、邮件链接。结果她还是点了钓鱼邮件链接,她的理由是邮件里面有苹果 logo…… 结果当然就是丢失的 iPhone 被解除了账号锁。”
43 楼:“苹果客服挺恶心的,去年我给炉石充值,重复付款了 2 次,只有一笔到账了,实际扣款了 2 次。给苹果客服打了 N 个电话,都是说没法核实,无法退款(惊呆)。最后到 12315 网站投诉,第二天就把钱退我了。”
iijboom
    91
iijboom  
   2023-07-24 13:19:33 +08:00
果粉家人们有福了
Ja22
    92
Ja22  
   2023-07-24 13:19:45 +08:00
apple 拒绝退款的理由是啥
airycanon
    93
airycanon  
OP
   2023-07-24 13:21:17 +08:00
@Archeb 大佬说的应该是比较靠谱的。
Chengnan049
    94
Chengnan049  
   2023-07-24 13:27:00 +08:00 via Android
@Chengnan049 补充 43 楼的用户为 @KiseXu
qinxiaozhi
    95
qinxiaozhi  
   2023-07-24 13:31:02 +08:00   ❤️ 3
应该是这个 app ,我这边下载后,目前无法正常使用了,不知道什么原因,看评论 2 月份就有人被骗了。
[url=https://sm.ms/image/jVyMDCHI6BdGuez][img]https://s2.loli.net/2023/07/24/jVyMDCHI6BdGuez.jpg[/img][/url]
Jiajin
    96
Jiajin  
   2023-07-24 13:31:28 +08:00
@Archeb app 里的当前 webview 怎么自动添加受信任的手机号的?它这种 https 站点又不能注入 js ,也不是无头浏览器,没搞明白啊。
Archeb
    97
Archeb  
   2023-07-24 13:35:24 +08:00 via iPhone   ❤️ 3
@Jiajin 在 app 里向 webview 注入代码就行了,这里 app 就是一个无头浏览器,不受一切跨域/安全策略的限制。
airycanon
    98
airycanon  
OP
   2023-07-24 13:41:29 +08:00
@GHvyuR7N 不好意思,我其实没有想好,要不要提供这个 app 的链接,一个是担心其他人不小心又中招,另一个是怕被大家举报之后,苹果把它下架了,就没办法继续找证据了。
iijboom
    99
iijboom  
   2023-07-24 13:42:38 +08:00
@airycanon 没事,有心的人已经找到了,你提供的信息已经足够多了
Jiajin
    100
Jiajin  
   2023-07-24 13:42:55 +08:00
@Archeb 确实可以,直接 evaluateJavaScript ,然后用之前拿到的密码,进行信任的手机号设置。跳过了 2FA
1  2  3  4  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5362 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 34ms · UTC 07:55 · PVG 15:55 · LAX 23:55 · JFK 02:55
Developed with CodeLauncher
♥ Do have faith in what you're doing.