V2EX今天的热帖,iphone在开启双重认证的情况下,被支付了20多笔共计1万6......太离谱了,一般人完全无法防御,根据评论区的猜测,捋一下这个app大概是怎么做到的,: 首先利用apple id授权登录拿到登录账号; 然后通过一个伪造的弹窗骗取密码(图2) 最后通过app内置的Webview登录苹果官网的账户管理,可以理解为就是app里面的浏览器,因为是内置的webview,是不需要双重认证的,只要输入密码就行了。 登进去之后,把黑客的手机号码加入信任号码,用来接收双重认证的短信 ok,现在你的账户就是他的了。 有心的可以特别注意一下图二那个识别是不是苹果自己的弹窗的方法 (对不起。。上一条图发错了,重发一下)
长图
