苹果 iPhone 重大漏洞曝光：开启 Apple ID 双重验证仍被盗刷

近日程序员社区 V2EX 出现了一条帖子，引发众多用户关注。用户 airycanon 表示，自己家人的 iPhone 上已经开启了 Apple ID 双重认证，但仍然遇到了被钓鱼骗钱的情况。

据称，用户在 App Store 上下载了一个菜谱类 App，该应用提示采用 Apple ID 授权登录，随后该 App 弹出了一个密码输入框，根据提示输入密码后就被骗取了账号信息，且整个过程中没有出现双重认证弹窗。

根据博主 @BugOS 技术组 的测试，受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证，通过面容 ID 验证即可。

开发商直接在帐号中添加新的手机号，这一步是需要密码的，App 用假的对话框来骗取用户 Apple ID 密码，然后就拥有了 Apple ID 权限，通过远程抹掉设备的手法，来让用户无法接受扣款信息，并进行盗刷。

整体看来，这一情况确实隐蔽且难防，目前尚不清楚苹果何时会修复这一漏洞。

博主 @BugOS 技术组 表示，当 iPhone 上出现输入 Apple ID 密码的窗口时，按 Home 键或上划手势尝试退出一下，能退出的都是在诈骗，此时不要输入任何帐户和密码。在苹果官方修复该问题之前，可以暂时用这个方法进行检测。