iPhone被曝重大漏洞：Apple ID开启双重验证仍被盗刷

程序员社区 V2EX 出现了一条热门帖子，用户airycanon称自己家人的iPhone开启Apple ID双重认证，但仍然被钓鱼骗钱了。

据称，其家人在App Store上下载了一个菜谱类App，采用Apple ID授权登录，随后该App弹出了一个密码输入框，输入密码后就被骗取了账号信息，且整个过程中没有出现双重认证弹窗。

根据博主@BugOS技术组的测试，受信设备中的应用拉起隐藏WebView访问appleid.apple.com无需双重验证，这一重大漏洞使得用户扫个脸即可登录。该App又用假的对话框骗取密码，然后将诈骗者的手机号加入双重认证的信任号码，直接远程抹掉设备，使用户无法接收扣款信息，并进行盗刷。

从整个原理来看，这一方法确实隐蔽且难防，目前尚不清楚苹果何时会修复这一漏洞。博主@BugOS技术组表示，当iPhone 上出现输入Apple ID密码的窗口时，按Home键或上划手势尝试退出一下，能退出的都是在诈骗。