機友們覺得,在安全性這塊,安卓和 iOS 誰的表現更好?
如果是放在幾年前。
主打開放的安卓,确實沒法和封閉管理的 iOS 相提并論。
别說隐私保護了。
安卓就連在網頁上,下載安裝一個 App 都得擔心受怕。
有些流氓 App,會把自己的圖标縮成 1 個像素點。
咱們肉眼看過去,壓根就看不到有個軟件在桌面挂着 ...
好在這幾年,手機廠商們都比較重視安全和隐私。
如果是在非應用商店下載 App,系統會有安全風險提示,有效減少用戶中招的概率。
那如果在應用商店裏面安裝 App,安全性是不是就更高了呢?
理論上來說,是的。
畢竟應用商店經過官方審核,流氓詐騙 App 基本混不進去。
但凡事都有例外,就連咱們印象中,比安卓安全 N 倍的 iOS 也沒少出簍子。
回想果子哥上一次被 " 偷家 ",是 App Store 被曝有大量瑟瑟 App。
而這次呢,事态是沒辣麽嚴重。
但也實打實的,關乎到 iPhone 用戶們的錢财。
事情起因呢,是論壇上有位老哥發帖。
他表示,自己的家人給 Apple ID 開啓了雙重認證,把防詐騙手段做得很到位了。
但日防夜防,套路難防。
在安全手段拉滿的情況下,他家人還是被某個 App 成功釣魚了。
最後,不僅手機數據沒了。
連綁定了 Apple ID 的銀行卡,也被盜刷了 1.6 萬元。
emmm...
說好的 App Store 很安全呢?
有機友可能想到了。
有沒有可能,是因爲他家人下載 App 的姿勢不對呢?
要是走側載的路子,比如 TestFlight、企業證書和 IPA 啥的。
那安全性确實沒有保障,果子哥也管不到這些地方。
但很騷的是,那位老哥的家人,就是從 App Store 直接安裝的 App。
而 App 的名字,也很樸實無華 -- 菜譜大全。
其實從軟件名字就能看出。
詐騙分子針對的,是那些年紀稍大,處理家長裏短的長輩們。
長輩們對手機套路本就了解不深,騙子隻要往 App 裏多加個 " 假驗證 " 步驟,往往能釣魚成功。
那麽,這次的騙子又用了啥新奇套路?
一開始還沒啥異常,帖主的丈母娘就用 Apple ID 正常登錄。
機哥也仔細檢查了,鑒定爲正版登錄彈窗。
但來到下一步,障眼法悄然冒出。
這個彈窗顯然是釣魚的,你看它連 AppleID 都沒寫對 ...
隻是界面和 iOS 原生彈窗做得很像。
帖主的丈母娘也沒想太多,在這輸入了密碼,并點擊确定。
也是從這個流程開始。
對方拿到了他丈母娘的 Apple ID 和密碼。
接下來,騙子就搗鼓起了熟悉的操作。
盜号→創建家庭共享→拉小号進去消費盜刷
說時遲那時快,對方很快用小号開始瘋狂消費。
等帖主發現不對勁了,趕緊打電話聯系銀行凍結支付,也爲時已晚。
一萬多塊錢,被對方刷走了。
機哥也很疑惑啊,不是說開啓了雙重認證嗎?
隻有輸對賬号密碼,再接收 " 受信任設備 " 的六位驗證碼,才能真正登錄上 Apple ID 啊。
但根據帖主的描述,他丈母娘壓根沒見過,雙重認證的界面。
甚至于,詐騙分子還大搖大擺。
把自己的号碼,加入了雙重認證的信任号碼。
這是啥概念?
就好比,機哥家裏的保險箱裝了兩把鎖。
然後有小偷進來了,把保險箱裏的錢偷走了,結果鎖還完好無損。
合着對面的哥們,是怪盜基德呗?
機哥原本覺得。
詐騙分子那頭,是用了類似屏幕共享的手段,把丈母娘的驗證碼給偷了。
然而,看完原貼和評論區的大佬分析後。
我才發現,這騙子的操作,真的是騷斷腿。
實際流程走下來,可能有點繞,機哥盡量講簡單點。
詐騙分子那邊,先是 App 内置了一個 Webview(浏覽器内核)。
然後用内置浏覽器,訪問 Apple ID,系統會出現彈窗。
此時,系統會掃描人臉,如果人臉識别通過了,或者密碼輸對了。
那 ...Apple ID 就會登錄成功,完全不會觸發雙重認證。
因爲系統也被騙了,以爲你在用 safari 登錄 Apple ID。
于是鑒定爲安全登錄,默認跳過雙重認證。
而通過隐藏的 Webview,登錄 Apple ID 後,即可獲取到用戶的 Cookie。
有些機友應該很熟悉,這玩意兒,相當于登錄賬号的通行證。
就算不知道 Apple ID 密碼,也能通過 Cookie 直接登錄賬号。
那問題又來啦。
既然對方能随時登錄他丈母娘的賬号,爲啥還要做個假彈窗,來騙取 Apple ID 密碼呢?
很簡單,因爲對方還需要把自己的小号,拉到受害者的 Apple ID 信任号碼中。
而添加【受信任電話号碼】這個步驟,又隻能用密碼登錄。
So,假彈窗的設計,可以說是釣魚不可或缺的步驟。
說白了,對方搞那麽多騷操作,隻爲獲取兩個關鍵數據。
一個是 Apple ID 的 Cookie,另一個是登錄密碼。
獲取到這兩個數據後。
App 就能通過内置的 js 代碼,動化填充信息,把騙子的手機号添加信任。
最終,把用戶的 Apple ID 權限,徹底拿下。
那接下來的流程,就沒啥好展開的啦。
先遠程抹除帖主丈母娘的數據,讓她沒法看到消費的信息。
接着抓緊時間刷卡,能消費多少是多少。
雖然,帖主的家人所開通的 App Store 免密支付,爲詐騙分子提供了可趁之機。
但機哥認爲哈,最大的漏洞還是在果子哥這邊。
現在的情況是,所有 App 調用 WebView 來登錄 Apple ID,都能繞過雙重驗證 ...
那不就相當于,開了個後門,方便騙子耍陰招嘛?
作爲開發者,其實隻要在上架 App 前,僞裝成正兒八經的應用。
等上架完成後,再通過熱更新,把釣魚代碼加進去。
接下來,等着用戶們接連上當,按照流程重複盜刷就完事兒 ...
有大佬破解了該 App 的後台,發現已經有上萬名用戶,被盜走了 Apple ID 密碼。
說實話,如此缜密的釣魚流程,别說長輩了。
像八弟這樣比較粗心的年輕人,估計也得吃這波虧。
當然啦,騙子要完全拿到 Apple ID 權限,也不是那麽容易。
Cookie 和密碼缺一不可。
不過,機哥有個小技巧。
大夥以後在用 Apple ID 登錄的時候,可以上滑返回桌面試試(老機型按 Home 鍵)。
倘若能成功返回,那登錄界面大概率是 App 僞造的。
反之,則是系統提供的登錄接口。
在果子哥還沒修改驗證邏輯之前,咱們隻能自己多留意一下啦。
