Apple ID雙重認證漏洞　黑客新手法偷碌萬6蚊卡數｜3方法防被盜用

手機儲存了大量的個人資料和支付方法，因此手機的安全非常重要。近日，內地就有一個網民分享，在 iPhone 開啟了雙重認證的情況下，竟然也被黑客透過漏洞，成功盜取其 Apple ID，更用來偷碌了 1.6 萬人民幣（約$17,459）卡數。

盜取 Apple ID

網民在 V2EX 分享，其外母下載了一個名為「菜譜大全」的 App，並做用 Apple ID 授權登入，而且沒有隱藏 Email 地址。在登入的過程中，突然彈出一個要求輸入 Apple ID密碼的視窗，類似 FaceID 登入失敗後出現的情況，不過視窗上寫的是「AppLeID」，可見是黑客用來取得 Apple ID 密碼的方法。

👉慳電｜全屋邊樣家電最嘥食？Top5耗電電器排名　第3位意想不到

黑客透過惡意 App 得到其 Apple ID 後，把自己的手機號碼加入信任號碼中，取得了整個 Apple ID 的所有權限，並創立了一個「家庭共享」帳號，加入了另一個 Apple ID 後用來盜用其信用卡，共盜用了 1.6萬人民幣（約$17,459）。

網民不太理解，為什麼開啟了雙重認證，但對方可以在沒觸發雙重認證的情況下，可以在另一個裝置登入 Apple ID。BugOS 技術經分析事情後認為，該惡意App有一個隱藏的 WebView，用來訪問 appleid.apple.com，而且無需雙重認證，只要 FaceID 即可登入。而黑客利用惡意 App 取得 Apple ID 電郵地址和密碼，獲取 Apple ID 權限後刪除其他信任裝置，因此能自行進行雙重認證，而且在支付時不會令受害者收到通知。

👉Android用家小心！31款FakeTrade惡意程式 App內儲值錢包即被呃錢

防範方法

很多用家都以為，使用雙重認證就能避免 Apple ID 被人盜用，但從以上的實例中可以得知，仍有一些方法能繞過雙重認證，盜用帳號和密碼。想避免 Apple ID 被盜用，第一樣要做的是，使用 Apple ID 登入第三方 App 時，要選擇隱藏帳號，以免開發商得到帳號地址。另外，如第三方 App 跳出要求手動輸入密碼的情況，建議不要輸入。同時，在 Apple 官網和 App 以外，也不應輸入 Apple ID 和密碼。

資料來源：v2ex