苹果iPhone曝重大漏洞-Apple ID被盗银行卡被盗刷

柒导航（7UDH.COM）7月25日消息：

有网友爆料称，自己丈母娘的iPhone手机开启了Apple ID双重验证，但仍然被钓鱼盗刷。

事发7月12日晚，23:00丈母娘的iPhone突然被抹掉资料，变成出厂设置状态，在设置过程中，手机陆续收到银行短信。

赶紧联系银行和微信支付冻结，可是为时已晚，已经产生了20多笔订单，共计1.6万元，当事人赶紧报警。

事后分析，基本确定是遇到了钓鱼，丈母娘绑定了微信免密支付，7月11日下午，在App Store下载了一个名叫“菜谱大全”的APP，登录方式是Apple ID授权，它会弹出一个非常像的密码输入框，从而骗得Apple ID的密码。

令人诧异的是，全程居然没有弹出双重认证的弹窗。于是他找负责Apple ID的客服，查询Apple ID被盗的原因，却被告知查不到记录。

对此，BugOS技术组称这一漏洞确实存在

并且还为此写了代码，确实可以绕过双重验证。

BugOS技术组还解释了绕过双重认证的原理，第三方应用里边，开发商可以打开一个你看不见的网页，比如在界面下层放一个名叫 WKWebView的控件，用其他图片啊按钮啊把这个控件挡住，你就看不到下边这个网页了对吧。这个控件可以访问任何网页，而且可以控制网页上的任何操作，以及获取网页上的各种信息。于是开发商用这个看不见的控件打开Apple ID设置网页，重点来了，如果你的手机是Apple ID的受信设备，打开网页时是不需要进行双重验证的，只需要扫个脸就可以顺利登录。

看来苹果要对应用审核更严格点了，第三方开发者的这种行为真的非常影响用户的使用。