家人的 Apple ID 开了双重认证，仍然被钓鱼，求大佬解惑，也顺便给大家提个醒

这种漏洞很多年前就出现过，非常危险的钓鱼弹窗。

@x1abin #173 还有给喜欢薅羊毛薅到死的老鼠屎洗的人啊？闻所未闻。

@DevHjz 都是宝塔相关的 888 是 web 数据库 pma 9090 ssh

受害者启动应用后看到登录画面，误以为是授权应用登录
↓
受害者如果没有仔细观察或无意识就会通过 SSO 登录到 appleid.apple.com
↓
攻击者取得受害者 Cookies 并添加自己的手机号码到信任手机
↓
弹出虚假的密码输入窗口骗取受害者密码

@unklity 需要先骗取密码，才能添加信任手机。SSO 登录后，添加信任手机，需要输入密码才能添加

@Dashit 290 楼，你能看到不同的分发渠道

@dsb2468 我这里使用 Firefox 测试只需要通过 SSO 登录到 appleid.apple.com 后就可以直接添加信任手机号

@unklity 你随便输入一个 13888888888 ，然后点击继续，就会让你输入密码了

@HeyYoGirls 建议提升下自己的阅读理解能力，别闹笑话。

@dsb2468 的确，草率了，我没有进一步操作，没能看到密码验证的步骤。

那实际的顺序应该是先骗取密码再添加信任手机号。

启用免密支付了，那就危险点了

@shinsekai 感觉的确是这样，弹窗拿到密码后随便网页或者新设备登录，甚至代码模拟登录，Apple 都会用已经登录的设备来提供验证码，这个时候如果截屏录屏，就主动拿到了验证码，另一段识别输入几乎不需要时间，所以用户几乎没机会看到，记录和应对这个验证码弹窗。
那么问题就是，录屏截屏的权限怎么拿到的？@airycanon double check App 的权限，有没有自签证书啥的？

@x1abin #309 小粉红是这样的，自己说了啥都不记得了，没事理解你。

今天下午微博很多大媒体在发了，不过感觉这问题太专业了，围观群众不多；回头看看抖音有没有热心大佬发

@benjaminv NONONO ，没有用到录屏的东西，就是 304 楼的方式，把 304 楼最后两步换个顺序，就是答案。

@HeyYoGirls 一个讨论苹果安全和售后问题的帖子都能戳到你政治上头的 G 点，建议早日就医吧，记得挂精神科。
blocked ，滚。

@unklity 感觉没这么麻烦，

受害者 Apple ID 没隐藏 email 或其他社工库泄漏 email
⬇️
虚假弹窗获取受害者 Apple ID 登陆密码
⬇️
模拟登录，向受害者手机发出授权申请：该手机屏幕显示登录位置及验证码 (6 位数字，明文)
⬇️
录屏或者截屏获取该授权登录验证码
⬇️
解析验证码并登录受害者 Apple ID
⬇️
新增作案者手机，以及后续流程

@dsb2468 那这祸苹果背定了

@benjaminv 你这个流程是错的，304 楼是正确的（把 304 楼最后两步换个顺序，就是完全正确的流程），已经验证过了

@yyzh #4 我以前也是做 ios 开发的，我在这里说下审核的问题吧

首先静态代码分析审核，说这个没啥意义，代码一混淆，利用反射类的技术可以很方便的避开静态分析

第二个就是人工审核，这个是完全可以做到在审核阶段将某些特殊页面暂时关闭或隐藏，等到审核通过再放出来，我们公司也这么干过。

其实这个案例最明显的漏洞在于这个登录密码输入框，如果苹果（包括安卓或者其它系统）能做到将敏感弹窗提升为系统级别的无法被 app 伪造的（比如与系统 UI 有明显交互，在非系统 app 层面根本仿不出来的级别），这样子用户能更容易分辨出这个是假的弹窗。

@benjaminv 你仔细看楼主的第一张图，那张图是楼主的母亲点击了这个 APP Store 下载的钓鱼 APP 后，点击界面上的登录按钮后，弹出来的（楼主母亲以为这个是登录软件的提示，但这个登录提示并不是登录软件 [注意看登录提示底部的网站] ，而是登录了 Apple ID 的管理页面），这一步是软件在自身内部嵌套了一个浏览器组件，让这个隐藏的浏览器去访问了 Apple ID 的页面从而实现的。

用户点击登录后，就成功 SSO 登录上了 Apple ID 的页面，然后钓鱼软件再弹窗提示用户输入密码，获得密码后，软件回传 cookie 和密码，利用脚本在管理页面添加了信任手机号，最终获得账号权限，再调选合适时间进行盗刷。

全程不需要获得 Apple ID 的账号或者邮箱，只需要用户点击 登录，输入密码。

你如果没看出图一是在登录 Apple ID 的管理页面，你也以为是正常登录软件的话，那你也就成功上当了。

@x1abin #316 小粉红喜欢给别人扣帽子，扣到自己身上来就知道急了，哈哈。

Witness

@Misaka11037 ，感觉这个没用。我现在用的 Yubikey 做 2FA
现在看起来是整个流程都没触发 2FA 的验证....

这个开发者把聪明的智商用到这种方式上，真的可悲呀

上新闻了, 我刚刚在今日头条上刷到 IT 之家发布的这个帖子

@dsb2468 谢谢补充，我没有上当，拉一拉就知道这个窗口是不是真的这应当教育成日常操作。我只是很怀疑居然拿 cookies 就可以绕过登录验证。不过既然已经验证过，这块基本上是安全漏洞了。

@benjaminv
@dsb2468 SSO 登录居然可以这样唤起😳

@benjaminv 前面几页都分析透了

@livid #313 #322 HeyYoGirls 攻击他人

突然间一笔接一笔的大额消费也触发不了苹果的风控，我也是服气的。

@alihbaba 对的，当时我也查到信息了，不知道能不能挖出什么有用的。

二月初就有人反馈，现在都七月末了，能在商店活上半年也是厉害

我的 apple id 开了二次验证给老人用，结果在老家随便找了个用验证码给我密码改了……

已发给在美国果园研发上班的表弟，让其转给安全部门看看。反馈无后续的。

@szzys 骗子不敢骗非中国大陆的，非中国大陆的苹果 ID 盗刷苹果 Uber 等公司都是直接退款不需要任何证据，即使苹果不退款还能找银行 visa 信用卡组织 chargeback 强制退款。只有中国大陆的银联苹果不退款，银联也不能 chargeback 。免密支付的微信支付宝就非常不安全。

这又让我想起了当年 Xcode 下载慢，国内开发者都是网盘上下载被注入病毒的 XcodeGhost 。结果导致国内大量的 App 盗取用户的账号密码。作为一个超过十年的苹果 App 开发者，觉得这个真是太厉害的。这个流程上的漏洞是怎么被发现了，简直就是个天才。我真的没想到双重验证可以这样被逃过。

1 、图一下方登录窗口第二行，正常 App 的 Sign in with Apple ，这里应该是 App 的名字而不是 appleid.apple.com
2 、通过 Face ID 鉴权成功后，窗口下方会有蓝色 Face ID 图标转变为圆圈中对勾图标的动画，动画下方有“完成”字样以提示登录成功，在系统界面已经提示登录成功的情况下，仍然在 APP 弹出的提示框中输入真实 Apple ID 登录密码（流程上本不需要输入），实测现在即使多次生物手段鉴权失败后，也是要求输入设备密码而不是 Apple ID 登录密码

Apple 应该通过技术手段确保登录 Apple ID 相关网站只能通过 Safari 浏览器进行，让第三方 App 拉不起图一这种对登录对象进行偷梁换柱的登录请求窗口

@ggmood ，受信任设备改 Apple ID 的密码貌似都不需要验证码，可以直接改

yime888.com
domain 注册人/机构：Xin Net Technology Corporation

补充一下，我印象中后来的苹果开发者认证是需要实名认证的，还要 Developer 活体核验核验。如果苹果正视这个事情，给中国警方提供相关的线索，应该是可以把开发者和背后的整条产业链抓出来的

在七麦数据中搜索 ”菜谱大全-小白学做菜下厨房助手“ 这里可以看到已经下架的 App 信息

苹果居然允许 webview 里面调用受信设备 SSO…
这种逻辑漏洞能够被发现也是骗子够厉害

苹果客服确实恶心，上次被恶心一次。

在七麦数据中可以看到 “菜谱大全-小白学做菜下厨房助手” 。1.0 版本通过多个用户刷 5 星好评。顺着被删评论的用户的其他被删除评论可以发现：这些评论用户由专业做评论公司做的好评。有几个刷好评的 App 就是流氓软件，在不经意中导致用户被订阅和扣费。苹果是该大力整治开发者了，现在的机器审核和人工审核还是太弱了，如果再开发侧载后果不堪设想。

@zhangqinting 我感觉这种都不算漏洞，就是获取到拿着官方的 cookie ，再钓鱼骗取密码。以前盗取 cookie 的太多了，现在都有重要验证都会再次使用密码。这个钓鱼做的好不好，是整个操作的关键点。
那个 XcodeGhost 是真牛逼。

看起来差不多三件事:
1. 骗子要抓
2. 苹果的漏洞要修
3. 苹果应该给受害人退款
第 3 件事貌似最简单, 为什么实际操作起来这么困难, 有懂的大神么

看到一篇公众号的总结，作为留档： https://mp.weixin.qq.com/s/G55w5UakMUcuhWyUPaHFYQ

@qoras 我粗浅的理解：苹果可能类似于其他电信诈骗里银行的角色
苹果或者银行作为转账平台，有帮助追缴的道德义务，但可能没有法律义务
如果钱已经到对面账户，甚至被提现洗走了
苹果是不会自己垫付给你退款的

菜谱大全 这个 app 举报了吗 有用吗？现在还能搜索到这 app 吗

@tuutoo 这 APP 已经被下架了，历史数据： https://www.qimai.cn/app/appstatus/appid/1658240702/country/cn

直接让苹果查这个开发者，他留的有电话。而且开发者付费，是有相关银行卡信息的，这个如果苹果想查，应该是能对应到人的

@apostles 不过看其它人好像说, 在国外类似情况就会退款

@szzys @Zy143L @Senorsen @AkaHanshan @ShikiSuen @tinytian @liveoppo @bksv @morax0xyc 我仔细调研和思考了一下 WebView 通过 SSO 登录这个安全模型，并且跟几个搞安全的朋友讨论了一下。我觉得这种钓鱼方式确实很有迷惑性，但本质上这里苹果的实现是没有安全漏洞的。

具体可以分成两部分讨论，一部分是 WebView 可以通过 SSO 登录是否有问题，第二部分是 SSO 登录是否应该允许绕过 2FA 。

关于第一部分，任意的 app 使用 WebView 加载网页，当网页需要跳转到第三方应用进行登录的时候，进行登录这个行为本身是很正常并且常见的。比方说，你在手机上 [Chrome 浏览器] 应用里面打开 [QQ 空间] 网页的时候，可以点击「通过 QQ 登录」按钮，这时 [QQ] 应用会被唤起，问你「是否使用当前账号来登录 [QQ 空间] 」。这是一个非常标准的 SSO 逻辑。

然后我换成另一个例子，你在手机上下载了一个 [超级单车] app ，然后它的首屏有「通过 QQ 登录」按钮，点击之后 [QQ] 应用被唤起，问你「是否使用当前账号来登录 [腾讯云] 」，你点了确认登录，然后你的腾讯云服务器被盗了。这个例子中问题在哪？在于用户没有意识到正在登录的是腾讯云就进行了授权。这里的 SSO 模型是没有安全漏洞的，唤起 QQ 应用来请求登录腾讯云这件事本来就是每个 app 都能做到的，不应该禁止也没有方便的方案可以禁止。

在本帖的案例中， [菜谱] 应用就是上面例子中的 [超级单车] ， [Apple ID] 就对应 [QQ] ， [appleid.apple.com] 就对应 [腾讯云] 。注意看楼主发的第一张图，写的清清楚楚是「你要通过 Apple ID 登录 appleid.apple.com 吗？」，就跟上面说的「你要使用 QQ 号登录腾讯云吗？」是完全一样的道理。用户没有认真看好登录的目标，就点了确认，这就是 user error ，而并非是苹果 SSO 的安全漏洞。当然，我承认这里对普通用户确实有很高的迷惑性。这里「通过 Apple ID 登录 appleid.apple.com 」其实更像「使用 QQ 号登录网页版 QQ 」，但其内在逻辑跟上面超级单车的例子是一样的。

这里我想强调一点，就是苹果账号在我的讨论中并没有什么特殊之处。就算你禁止了 WebView 来使用 Apple 的 SSO ，接下来就会有恶意 app 内嵌一个淘宝网页，唤起你的支付宝来登录淘宝，甚至唤起你的支付宝来登录支付宝网页版（我不知道实际上有没有这个登录渠道，但这里只是举例子来说明问题，有大量的 app 都有类似逻辑）。对于这种 Apple ID 之外的场景，其实 WebView 也并非必须的组件，恶意应用完全可以在 app 里面模拟登录的过程，甚至在服务器上跑个 headless 浏览器来转发请求都是可以的。

除了 SSO 这种授权登录钓鱼，还有很多类似的钓鱼方法也看起来像是安全漏洞其实不是。例如你下载了一个 [超超级单车] app ，然后 app 要求手机号登录，输入手机号之后，手机收到验证码：「 [腾讯云] 你的登录验证码是 123456 」。如果你输入了验证码，这个 app 理所当然就可以登录你的腾讯云后台，而且这种情形从腾讯云和手机运营商的角度都是无法彻底防止的。如果把 [腾讯云] 换成你不熟悉的 [XX 科技] ，其实还真就不好辨别，说不定这个 app 后台就是在用你的手机号登录某个网贷平台呢。

（题外话：我觉得国内运营商强制平台短信必须有方括号前缀，并且不能伪造前缀，从安全模型角度这是非常好的实践。我之前用 +1 手机号注册一些小众平台的时候，就遇到过没有任何前缀的验证码短信，这种验证码我根本不敢输入，因为理论上它完全有可能把验证码请求 proxy 到了另一个平台的验证码接口，偷偷在用我手机号登录其他平台。另外，我认为所有的人脸验证都应该要求用户读出平台的名字，不然一个恶意应用就可以直接靠 proxy 这种方式在后台偷偷进行另一个平台的人脸验证。感觉绝大部分用了人脸验证的 app 开发者都没有意识到这里的鉴权安全模型问题，可能需要做安全的人来多多宣传一下。）

回到第二个问题，SSO 登录是否应该允许绕过 2FA ？这个问题我看了一下我常用的国内外账号，其实很多账号进行授权登录/扫码登录另一台设备的时候都是不要求输入 2FA 验证码或者（对于国内平台）短信验证码的。我觉得这里确实可以加强一下安全性，但是苹果现在的逻辑显然算不上是安全漏洞或者缺陷。

综上，我个人觉得本帖的问题虽然迷惑性确实很强，但还是应该算 user error ，并非安全漏洞。如果加缓解措施的话，只是缓解了一个特定的钓鱼方式而已，如果用户一直不理解 SSO 授权时应该检查的东西，那么还是不能彻底防止类似问题在其他平台或者其他场景下再次发生。

如果用 rn 热更新的技术，那无论苹果怎么审核都没用，随便热更改代码

太可怕了喔

@fydpfg 有一点我想说下，如果苹果家庭账号主账号绑定的是支付宝（绑定其它支付方式我未确认，不确定），加入家庭组的账号在首次购买东西时，主账号的 Apple ID 绑定的手机号会收到验证码提示，如果不能获得这个验证码，家庭成员的账号是没法支付成功的，这个策略能很好的防止这种私自加入家庭组后，直接支付的情况。

回到题主母亲遇到的这个情况，不清楚题主是不是绑定的支付宝、以及他母亲的账号是否之前支付成功过（因为家庭成员账号非首次支付的话，就不需要验证码了）。

@fydpfg

oath 登录时弹出的对话框有没有类似伪造？每次 OAuth 调起 GitHub 登录时，我都会仔细看对话框上面的地址栏，但实际上这个也是可以伪造的，对吧？

@dsb2468 绑的是微信支付，对方在别的设备上登录了，并且抹掉了我家人的设备。

@fydpfg 安卓下测试了一下你提到的 qq 空间，不管从什么浏览器或者 webview 拉，qq 都给你跳系统默认浏览器了

开发者账户是实名的，收款信息也有就看苹果是不是配合了

@fydpfg 意思苹果允许给任意外部请求授权了自己的完整账号访问权限是吗，如果这样我感觉可以改一改。

测试了安卓网页腾讯云拉 qq 登录完了跳默认浏览器，网页阿里云拉支付宝登录完在支付宝内的 webview 开了阿里云。是否方便给个可以测试的例子？

@fydpfg 不一样的，我认为这里混淆了问题的本质。苹果的问题是在 WebView 登录 Apple ID/iCloud 网站后，App 竟然可以拿到 iCloud 内的凭据/Cookie ，这破坏了信任的边界。而标准的 SSO 是有边界的，不会让你拿到不该拿的权限。

普通用户是远远做不到防范这种问题的。

@Floraer 关注一波，看这个开发者什么时候被抓进局子

@x1aoYao 不过境外手机号... 这种电诈的钱估计很难追回来了

@fydpfg 这里提到的“恶意 app 内嵌一个淘宝网页，唤起你的支付宝来登录淘宝，甚至唤起你的支付宝来登录支付宝网页版”，实际上从 webview 拉起淘宝/支付宝/微信登录后，并不能回到原来的 app ，而是限制了只能回到 safari （即：app webview -> 拉起淘宝/支付宝/微信 -> 完成登录 -> 跳转 safari 打开 callback url ）。和这个案例里的风险不完全一样。

不过现在各大网站在推广 passkeys ，这个案例的攻击手法也适用于 passkeys ，利用隐匿 webview 拉起 passkeys 登录，然后偷 cookie 。
其实本质上这个行为和“在不信任的 webview 里输入用户名密码”一样，正常人在看到一个不信任的 app 向自己索要密码，是有防范意识的；但是把这个索要密码的行为换成索要一次 face id 扫脸，就很有迷惑性了，因为 face id 扫脸行为是在系统级弹窗进行的，会给人“很安全”的感觉。

浅浅分析了下这个事件 https://juejin.cn/post/7259966116268032058 - 漏洞分析 | 防护技巧

怎么说能，骗术的确很厉害，但是如果懂技术安全的人，看到那个输入 AppLeID 的弹出框就不会继续了，不说拼写错误，就弹出的那个输入法就根本不对。
但是你要教会父母辈的，其实有点难。

想起之前有个帖子说微信小程序上的 apple store 可以登录 apple id ，apple 不会是为了这个开放了这种快捷登录方式吧

黑产是真的厉害···

@dearmymy 之前听说 apple 内鬼协助他人退款。

apple store 每年收那么多钱, 还有这么严重的漏洞

@fydpfg 你这个第一部分的说法并不正确。
webview 并不应该被用来登陆第三方 app/网站。这是浏览器该做的事情。
我觉得你的安全朋友似乎不太靠谱。

@TerryRobles 如何取消？

@leefor2020 用 yubikey 也没办法避免这个漏洞么？

@vishell ,我感觉是的
看起来是在受信任的设备上调用 webview 登录的话，根本走不到 2FA 这一步

明白了，这个苹果重大责任啊

怕了，我也经常不注意就输密码

想知道 apple 密码泄露的渠道有哪些？
1. 没越狱
2. 不从非法渠道下载应用
3. 防撞库所以设置的密码和其他平台不同
4. 没有在钓鱼网址输入过密码
但是 appleid 已经被异地登录多次了，改了密码对方也能登录，每次都是点拒绝倒也没损失。不过我很好奇密码怎么泄露的，连客服都说我这是小概率事件。

@francecil 在 cookie 被偷取后，修改密码，原 cookie 会失效吗？我遇到了类似的情况：appleid 被多次异地登录，修改密码也阻止不了他……

@francecil 在 cookie 被偷取后，修改密码，原 cookie 会失效吗？我遇到了以下的情况：appleid 被多次异地登录，修改密码也阻止不了他……

@airycanon 您好，我也是这个事情的受害人，想了解怎么联系苹果官方退款，我们可以加个账号联系一下吗？

@Daydreamed 可以加我微信，和 V2EX 同号。

真的太高明了又学习了

ios17.3 新增的失窃设备保护是不是能够防止这种情况，任何关键安全操作必须要生物识别信息确认不能用密码替代