苹果公司App Store再次出现安全漏洞,有恶意钓鱼程序伪装成合法的应用程式,并成功破解Apple ID的帐号双重认证,进而控制受害人的Apple ID使其蒙受资产损失。
App Store存在安全漏洞
近日网上论坛V2EX有用户表示,其丈母娘早前下载了一个名为“菜谱大全”的 App后遭到了钓鱼攻击,首先开启该程序时会被要求以Apple ID授权的方式登入,此时如果没有启用iCloud+隐藏电邮件地址的功能,Apple ID帐号就会泄露;然后画面会出现一个近似App Store的密码输入框,用户如不熟悉App Store的登入流程,很容易便会被诱骗输入密码。
攻击者收集了用户的帐户和密码后,会把预先准备好的另一个号码加添加至用户的双重认证信任号码中,往后他便可自行认证,至此双重认证已告破解;而攻击者亦不会直接使用盗取窃得来的帐号购物,而是另外创建一个家庭共享,并以在内的其他帐号购买虚拟商品,此举是为了避免直接使用窃取得来的帐号。
App Store曾闹出假加密钱包事件
苹果生态一直予人安全的印象,惟上月App Store才刚闹出假加密钱包事件,不料本月又再次曝露安全漏洞。是次出现的新钓鱼手法一举破解苹果的了双重认证,慢雾科技资安长23pds也表示该方法非常高明,他提别提醒加密货币用户注意事件:“加密货币用户务必注意,因为目前有不少用户、钱包的备份方案是 iCloud 备份,一旦被攻击,可能造成资产损失。”
苹果日前已就 iPhone、Mac 和 iPad 的零日漏洞发布了重要更新,本年以来该公司已修复了11个遭到利用的零日漏洞。
原文內容:App Store再次出现钓鱼程序 双重认证遭破解加密货币用户需提防
更多币圈最新资讯: