就在近日，有網(wǎng)友在社交平臺(tái)上分享了自己親人被 App Store 應(yīng)用商店里的 “騙子 App” 騙走了一萬(wàn)五千元的事情，而這則消息也引發(fā)了網(wǎng)友們的熱切討論。那么，造成這起事件發(fā)生的背后原因有哪些？一起來(lái)看看作者的分析。

眾所周知，蘋果一直在宣傳自己的安全、隱私、可控。

而且在過(guò)去，它也足夠的安全。

但世界上也沒(méi)有絕對(duì)堅(jiān)固的墻，大家也別因?yàn)檫@樣，就徹底放松警惕。

因?yàn)樽蛱?，它就翻車了?/p>

事情是這樣的，一個(gè)網(wǎng)友的丈母娘被 App Store 應(yīng)用商店里的 “騙子 App” 騙走了一萬(wàn)五千元。

直到目前，他們被盜刷的錢都沒(méi)能追回。

而我在復(fù)盤完事情的完整經(jīng)過(guò)之后發(fā)現(xiàn)，其中兩個(gè)重要環(huán)節(jié)，都是蘋果出現(xiàn)了問(wèn)題。

但凡蘋果在這兩個(gè)環(huán)節(jié)中的任何一個(gè)環(huán)節(jié)有安全措施，也不至于讓騙子得逞。

先跟大家聊聊大概發(fā)生了什么事吧，大家可以先看看原博主 airycanon 描述的事情經(jīng)過(guò)~

簡(jiǎn)單來(lái)說(shuō)，就是 airycanon 的丈母娘從 AppStore 應(yīng)用商店里下載了一個(gè)菜譜 App。

但是這個(gè) App 本身有問(wèn)題，打開(kāi) App 之后，首先會(huì)彈出一個(gè) Apple 賬號(hào)登錄界面。

用過(guò) iPhone 的小伙伴都知道，不少 App 都支持使用蘋果賬號(hào)一鍵注冊(cè)登錄，就像微信小程序一鍵登錄一樣。

所以這一步看起來(lái)是合理的。

但其實(shí)，真正的蘋果一鍵登錄界面，是這個(gè)樣子的：

大家可以上下對(duì)比看看。

菜譜 App 彈出的那個(gè)“假登錄界面”，其實(shí)也是有用的，它在后臺(tái)已經(jīng)完成了一次蘋果賬號(hào)登錄。

至于有什么用途，我們放到后面再說(shuō)。

登錄彈窗之后，這個(gè) App 又彈出一個(gè)仿照系統(tǒng)界面設(shè)計(jì)的密碼輸入界面。

因?yàn)殚L(zhǎng)得和安裝應(yīng)用時(shí)候的密碼驗(yàn)證界面很像，手機(jī)用的不那么靈光的老人還是很容易中招的。

App“L”eID……

自此，騙子就搞到了受害者 iPhone 的賬號(hào)和密碼。

假如用戶給蘋果賬號(hào)綁定了支付方式 —— 就比如 airycanon 的丈母娘綁定了微信免密支付……

那騙子就可以開(kāi)始盜號(hào)刷刷刷了。

u1s1，這個(gè)騙子絕對(duì)是個(gè)慣犯。他為了避免受害人收到短信交易提醒，盜刷之前甚至還利用查找 iPhone 遠(yuǎn)程把受害者的手機(jī)給重置恢復(fù)出廠設(shè)置了。。。

這要是沒(méi)用 iCloud 備份相冊(cè)的人，不得氣瘋了……

真·砂仁豬心。

OK，事情大概就是這么一回事，講道理，看完之后我整個(gè)人就是一個(gè)大寫的懵。

首先，我倒是理解這種騙人 App 能堂而皇之在蘋果官方 App Store 上架。

因?yàn)轵_過(guò)蘋果商店審核的操作在業(yè)內(nèi)根本不算什么秘密。

馬甲包、同 ID 雙版本、幸運(yùn)按鈕……黑產(chǎn)總有辦法。

比如我也在 App Store 里下載了幾個(gè)菜譜大全，他們倒是沒(méi)有盜我的密碼，但是點(diǎn)開(kāi)以后也都不是菜譜。

而是一個(gè)個(gè)關(guān)不掉的強(qiáng)制彈窗，“ 幫 ” 我開(kāi)各種彩鈴包、權(quán)益合約包……

難得遇到了一個(gè)正經(jīng)菜譜 App，結(jié)果剛看了兩個(gè)菜，就要收我 28……

不對(duì)，是每周 28 塊錢……

我估計(jì)正經(jīng)廚房類 App 的產(chǎn)品經(jīng)理們都得看傻了：同行們黑心錢都這么好賺的嗎？

“非強(qiáng)制消費(fèi)”：

但是，就算 App 能通過(guò)釣魚(yú)的方式騙到受害者蘋果賬戶的密碼，但是蘋果本身是有 “兩步驗(yàn)證 ” 機(jī)制的呀？

在登錄新設(shè)備或者瀏覽器的時(shí)候，除了輸入密碼，蘋果還會(huì)要求輸入一個(gè)短信驗(yàn)證碼。

而且 airycanon 也在帖子里說(shuō)明了，他丈母娘的 Apple ID 已經(jīng)開(kāi)啟了兩步驗(yàn)證。

但是他們自始至終沒(méi)有收到蘋果的驗(yàn)證碼。

這時(shí)候他發(fā)現(xiàn)，丈母娘賬號(hào)的兩步驗(yàn)證設(shè)置里，多出來(lái)了一個(gè)從來(lái)沒(méi)見(jiàn)過(guò)的境外號(hào)碼。

怪不得自己手機(jī)上沒(méi)有驗(yàn)證碼了，因?yàn)榻邮镇?yàn)證碼的手機(jī)已經(jīng)變成騙子的手機(jī)了。

考慮到設(shè)置兩步驗(yàn)證是一個(gè)挺復(fù)雜的操作、即使手把手跟丈母娘說(shuō)都不一定能設(shè)置成功。

那這個(gè)號(hào)碼只能是騙子偷偷添加進(jìn)來(lái)的了……

這就很離譜了好吧，因?yàn)殡m然“菜譜騙子”們騙過(guò)了蘋果的 App 審核，但它們最多也只是詐騙，是在玩弄社會(huì)工程學(xué)，而不是病毒。

理論上來(lái)說(shuō)，它們根本沒(méi)有辦法繞過(guò)蘋果最根本的安全措施，在不彈任何驗(yàn)證碼的情況下往蘋果的雙證驗(yàn)證系統(tǒng)里加入能收驗(yàn)證碼的新手機(jī)號(hào)。

這一點(diǎn)是我和編輯部小伙伴們都感覺(jué)非常詫異的，也是今天關(guān)注到這件事的網(wǎng)友們討論最激烈的。

不過(guò)在一段討論之后，研究蘋果開(kāi)發(fā)的 BugOS 技術(shù)組提到了一種可能的思路：

上面截圖里的內(nèi)容大家看不懂沒(méi)關(guān)系，簡(jiǎn)單來(lái)說(shuō)，蘋果瀏覽器框架的安全策略出了問(wèn)題。

事情大概是這么回事：我們都知道，不管是 iPhone，還是安卓手機(jī)，系統(tǒng)里都會(huì)有一個(gè)預(yù)裝的默認(rèn)網(wǎng)頁(yè)瀏覽器對(duì)不對(duì)。

比如 iPhone 上就是 Safiri，安卓這邊則是各家的自帶瀏覽器。

但這其實(shí)只是表面上的瀏覽器。

但其實(shí)，再往系統(tǒng)底層找，還有一個(gè)“沒(méi)有圖標(biāo)”的瀏覽器框架：WebView。

這個(gè) “ 瀏覽器框架 ” 不能被普通用戶在手機(jī)里直接點(diǎn)開(kāi)，它存在的意義，是供其他 App 調(diào)用的。

我們舉個(gè)例子，就比方說(shuō)美團(tuán)、滴滴他們經(jīng)常在 App 里搞領(lǐng)券的活動(dòng)，對(duì)于這種臨時(shí)的活動(dòng)頁(yè)面一般就是寫個(gè)網(wǎng)頁(yè)。

這些 “ App 內(nèi)的網(wǎng)頁(yè) ”，實(shí)際上都不是 App 本身在渲染，而是美團(tuán)和滴滴拉起了系統(tǒng)里的 WebView 組件來(lái)進(jìn)行渲染的。

這個(gè)組件其實(shí)幫了開(kāi)發(fā)者很大的忙，假如沒(méi)有 WebView 瀏覽器框架的話，包括美團(tuán)和滴滴在內(nèi)的所有 App 開(kāi)發(fā)者，都得往 App 里再額外集成一個(gè)獨(dú)立的瀏覽器內(nèi)核。

本身現(xiàn)在的 App 們就已經(jīng)很占存儲(chǔ)空間了，要是一人再背一個(gè) Chrome……

畫(huà)面太美了，我不敢想！

另外，作為網(wǎng)絡(luò)世界的窗口，瀏覽器漏洞本身也是很多黑客行為的突破口。

系統(tǒng)本身提供一個(gè)全局自動(dòng)更新的瀏覽器框架，也可以避免一些 App 不更新內(nèi)置的瀏覽器內(nèi)核，導(dǎo)致黑客趁虛而入。

這次的問(wèn)題，恰恰就出在這個(gè) “為了不出問(wèn)題” 而設(shè)計(jì)的系統(tǒng)級(jí)瀏覽器框架上。

不知道大家有沒(méi)有體驗(yàn)過(guò)系統(tǒng)瀏覽器的 “便捷單點(diǎn)登錄” 功能。

就比方說(shuō)，假如你在 Windows 電腦上使用自帶的 Edge 瀏覽器打開(kāi)微軟賬戶官網(wǎng)，Edge 瀏覽器不會(huì)讓你輸入微軟賬戶的賬號(hào)密碼。

而是會(huì)自動(dòng)讀取當(dāng)前電腦里登錄的微軟賬戶，然后幫你在瀏覽器網(wǎng)站里完成登錄。

假如你在登錄了谷歌賬號(hào)的安卓手機(jī)上使用谷歌 Chrome 瀏覽器，它也會(huì)自動(dòng)幫你完成登錄操作。

蘋果也是如此，假如你在 Safari 瀏覽器里打開(kāi) Apple ID 官網(wǎng)，并點(diǎn)擊登錄。

瀏覽器也不會(huì)讓你輸入密碼，而是直接彈出來(lái)一個(gè)登陸操作的確認(rèn)框。

假如你點(diǎn)了 “繼續(xù)”，得益于高性能的蘋果 A16 處理器，系統(tǒng)會(huì)光速?gòu)棾?Face ID 驗(yàn)證。

一個(gè)眨眼的功夫，就登錄成功了。

誒，等會(huì)兒。

這個(gè)登陸框，怎么有點(diǎn)兒眼熟??？？？

為什么 “ 菜譜大全 ” 會(huì)請(qǐng)求登錄 Apple ID 官網(wǎng)??？？？

說(shuō)真的，假如沒(méi)有對(duì)比的話，菜譜大全的操作很容易會(huì)被大家當(dāng)成是普通的 “ 一鍵注冊(cè)賬號(hào) ” ——

包括發(fā)帖的 airycanon 也沒(méi)反應(yīng)過(guò)來(lái)，以為是丈母娘沒(méi)有選蘋果的隱私郵箱登錄選項(xiàng)才暴露了 Apple ID，讓黑客掌握了信息。

真正的一鍵注冊(cè)環(huán)節(jié)會(huì)要求選擇是否隱藏郵件地址：

實(shí)際上，當(dāng)這個(gè)確認(rèn)窗驗(yàn)證完畢之后，騙子都已經(jīng)準(zhǔn)備好往賬號(hào)里加料了。

“菜譜大全” 之所以能夠一鍵登錄，恰恰就是利用了 WebView 這個(gè)系統(tǒng)級(jí)瀏覽器框架的 “便捷登錄” 特性。

表面上，是一個(gè)菜譜 App，而在它的內(nèi)部，隱藏了一個(gè)正在訪問(wèn) Apple ID 官網(wǎng)、并準(zhǔn)備篡改用戶接收驗(yàn)證短信手機(jī)號(hào)的瀏覽器界面。

我后來(lái)看 BugOS 技術(shù)組又發(fā)了一個(gè)微博，他們已經(jīng)用自己寫的代碼還原完整個(gè)攻擊過(guò)程了。

按照蘋果 Apple ID 官網(wǎng)目前的安全邏輯，只有一開(kāi)始的賬號(hào)登錄環(huán)節(jié)需要下發(fā)驗(yàn)證碼做雙重驗(yàn)證。

而這最開(kāi)始的一步，騙子已經(jīng)通過(guò) WebKit 的便捷登錄繞過(guò)去了。

已經(jīng)處于登錄狀態(tài)的情況下，只要輸固定的賬號(hào)密碼，就可以直接添加新的驗(yàn)證手機(jī)了。

現(xiàn)在相信大家已經(jīng)徹底搞明白背后是怎么一回事兒了，這時(shí)候我們?cè)僦匦禄乜垂适碌娜玻?/p>

“菜譜大全” 先是在表層界面的下面，隱藏了一個(gè) WebView 瀏覽器組件，然后利用它系統(tǒng)級(jí)的 “便捷登錄” 能力，進(jìn)入了 Apple ID 官網(wǎng)。

接著，它給用戶彈出了一個(gè)密碼輸入框，用來(lái)搞定添加驗(yàn)證手機(jī)的最后一步障礙。

拿到密碼之后，App 就會(huì)偷偷跑起添加新驗(yàn)證手機(jī)的自動(dòng)腳本，這時(shí)候受害者的蘋果賬號(hào)就已經(jīng)不屬于自己了。

什么時(shí)候發(fā)起攻擊，全看黑客心情了。

OK，復(fù)盤完畢，這么一看好像還是受害者太傻，平白無(wú)故把密碼交出來(lái)了對(duì)不對(duì) —— 假如受害者打死不填密碼，黑客也沒(méi)招。

我們不應(yīng)該罵蘋果對(duì)不對(duì)？

emmmm，在下這個(gè)結(jié)論之前，我想先帶大家看一看蘋果的老對(duì)手 —— 谷歌是怎么做的。

和蘋果 Apple ID 一樣，只要已經(jīng)處于登錄狀態(tài)了，谷歌這邊的賬號(hào)系統(tǒng)要想添加新的驗(yàn)證手機(jī)，也只是輸一下固定密碼的事。

但是和蘋果不同，谷歌根本不允許系統(tǒng)的 WebView 組件使用 “便捷登錄” 技術(shù)。

我在自己的安卓手機(jī)上做了個(gè)小測(cè)試，分別使用谷歌 Chrome 瀏覽器和 Via 瀏覽器（ 一款直接調(diào)用系統(tǒng) WebView 框架的極簡(jiǎn)瀏覽器 App ）訪問(wèn)谷歌賬號(hào)官網(wǎng)。

Chrome 瀏覽器因?yàn)橐呀?jīng)獲取了系統(tǒng)里的賬號(hào)登錄狀態(tài)，因此直接就登錄了。

Via 瀏覽器則沒(méi)有這個(gè)能力，需要一步步重新輸入賬號(hào)、密碼、驗(yàn)證碼。

換句話說(shuō)，假如有騙子想在安卓手機(jī)上做一個(gè)同樣套路的事，第一步就卡住了……

但是在蘋果系統(tǒng)里，不管是調(diào)用 WebView 的 Via，還是真正的自帶瀏覽器 Safari，都能調(diào)用便捷登錄。

再搭配上 App Store 的審核漏洞，一鍋好菜就出爐了……

嚴(yán)格來(lái)說(shuō)，這對(duì)于 iOS 系統(tǒng)來(lái)說(shuō)也算是一個(gè)漏洞 —— 它不是代碼漏洞，而是一個(gè)邏輯漏洞。

騙子利用蘋果開(kāi)放的便捷登錄能力，偽裝了自己一波，再利用一點(diǎn)點(diǎn)社工技巧，就把錢騙到手了。

由于系統(tǒng)邏輯漏洞造成的問(wèn)題，正確的解決方式應(yīng)該是著手準(zhǔn)備 OTA 補(bǔ)丁，同時(shí)幫著受騙的用戶追回?fù)p失。

不過(guò)蘋果給這個(gè)受害者帶來(lái)的感知，并不是很好……

可能現(xiàn)在時(shí)間還比較短，希望蘋果后續(xù)可以幫這個(gè)受害者妥善解決。

不瞞大家說(shuō)，本來(lái)我今天是沒(méi)打算寫這篇文章的。

因?yàn)檎嬉?xì)究的話，安卓這邊雖然把 WebView 的洞補(bǔ)上了，但是其他的漏洞更多、騙人的方式根本數(shù)不過(guò)來(lái)。

蘋果生態(tài)總體來(lái)說(shuō)都還是更安全的、讓人用著更放心的，但是大家不要因?yàn)樗?“安全” 的標(biāo)簽就變得麻木、不重視安全了。

就像大家都說(shuō)沃爾沃安全，但你不能因?yàn)檫@點(diǎn)就不握著方向盤了。

相信很多給家長(zhǎng)買 iPhone 的小伙伴，都是希望家長(zhǎng)盡可能不被騙。

但我覺(jué)得，我們還是要告訴他們即便是 iPhone，即便是 App Store，也不能保證絕對(duì)安全。

不隨便輸密碼、不給所有 App 用一模一樣的密碼是最后的底線。

千萬(wàn)記得叮囑他們，免密支付能不開(kāi)就不開(kāi)。如果開(kāi)了的話，免密支付的卡里面也不要放太多的錢。

圖片、資料來(lái)源：

IT之家：蘋果 iPhone 曝光重大漏洞，Apple ID 開(kāi)啟雙重驗(yàn)證仍被盜刷。

V2EX：@ airycanon

新浪微博：@ BugOS技術(shù)組

米羅的 iPhone