Apple ID双重认证漏洞　黑客新手法偷碌万6蚊卡数｜3方法防被盗用

手机储存了大量的个人资料和支付方法，因此手机的安全非常重要。近日，内地就有一个网民分享，在 iPhone 开启了双重认证的情况下，竟然也被黑客透过漏洞，成功盗取其 Apple ID，更用来偷碌了 1.6 万人民币（约$17,459）卡数。

盗取 Apple ID

网民在 V2EX 分享，其外母下载了一个名为“菜谱大全”的 App，并做用 Apple ID 授权登入，而且没有隐藏 Email 地址。在登入的过程中，突然弹出一个要求输入 Apple ID密码的视窗，类似 FaceID 登入失败后出现的情况，不过视窗上写的是“AppLeID”，可见是黑客用来取得 Apple ID 密码的方法。

👉悭电｜全屋边样家电最嘥食？Top5耗电电器排名　第3位意想不到

黑客透过恶意 App 得到其 Apple ID 后，把自己的手机号码加入信任号码中，取得了整个 Apple ID 的所有权限，并创立了一个“家庭共享”帐号，加入了另一个 Apple ID 后用来盗用其信用卡，共盗用了 1.6万人民币（约$17,459）。

网民不太理解，为什么开启了双重认证，但对方可以在没触发双重认证的情况下，可以在另一个装置登入 Apple ID。BugOS 技术经分析事情后认为，该恶意App有一个隐藏的 WebView，用来访问 appleid.apple.com，而且无需双重认证，只要 FaceID 即可登入。而黑客利用恶意 App 取得 Apple ID 电邮地址和密码，获取 Apple ID 权限后删除其他信任装置，因此能自行进行双重认证，而且在支付时不会令受害者收到通知。

👉Android用家小心！31款FakeTrade恶意程式 App内储值钱包即被呃钱

防范方法

很多用家都以为，使用双重认证就能避免 Apple ID 被人盗用，但从以上的实例中可以得知，仍有一些方法能绕过双重认证，盗用帐号和密码。想避免 Apple ID 被盗用，第一样要做的是，使用 Apple ID 登入第三方 App 时，要选择隐藏帐号，以免开发商得到帐号地址。另外，如第三方 App 跳出要求手动输入密码的情况，建议不要输入。同时，在 Apple 官网和 App 以外，也不应输入 Apple ID 和密码。

资料来源：v2ex