某论坛一帖子详细介绍了家里长辈账号被盗刷的全过程,结合我自己周围一些事件分析一下。
# 账号及系统介绍
测试系统 iOS 17 develop beta 3 (21A5277j)
浏览器为默认Safair 非无痕模式下
账号 绑定 电话号码、邮箱、安全密钥(密钥会单独说明)
# appleid.apple.com登录及App Store登录(安全密钥下)
(按照原帖评论,App可能是通过appleid.apple.com无需M2F即可绑定受信任号码的做法实现的,所以我就使用此页面作为测试)
在进入网页后,iOS的快捷登录界面立马弹出(iOS17已经更新为通行密钥,实际效果一致)
然后需要扫FaceID登录,App可能是通过登录时选用Apple登录(iCloud+才有隐藏邮箱),结合要求输入的密码进行登录。由于本机已经登录iCloud,Apple服务无需M2F(二次认证),这样就完成登录。
可以看到,我绑定了Yubikey安全密钥,先在此状态下测试。
然后直奔主题-受信任号码
可以看到需要密码,刚才通过App套取完成了。
然后就收取准备添加的手机号验证码
添加成功,至此,appleid验证码认证已经“报废”
安全密钥跟空气一样被忽视了!如图
但是,安全密钥并不是吃素的!
我使用一台iPad尝试在App Store登录此账号,要求需要二次认证,安全密钥的等级高于验证码认证,所以App Store无法正常登录,此时我的iPhone收到了一则安全通知提示,有其他设备正在登录Apple ID,询问是否为本人?[cos滑稽]
总结,即便添加了安全密钥,手机号还是能被添加,但是需要密码,但是好消息是账号根本无法被登录,安全密钥胜利!✌️
# 无安全密钥篇
我移除了所有安全密钥,来测试一般情况下的操作。
前面绑定号码的过程跳过,一样的我就不重新演示,然后继续使用那台iPad登录Apple ID,提示需要二级认证,并此时我的设备直接收到了一个登录请求,可以提供验证码*,我在iPad上可以直接选择使用电话号码接收验证码,完成登录,后面的操作完全就是只需要密码即可完成App内购买。
至此,Apple ID已可以被盗刷。[滑稽]
# iPhone的问题
前段时间周边有一件事,一位iPhone用户嗯,手机被偷了,然后对方通过日常记录下了他了iPhone密码在盗取到了第一时间在试试内使用iPhone密码修改了Apple ID密码,此方法之前被人用于在公共场合通过打配合的方式盗取手机。(来自IT Home)
此方法下也可以用于解绑安全密钥![受虐滑稽]
只暴露了一个问题,即便绑定着安全密钥,也可以通过iPhone密码解除至埋下了严重的安全隐患!
# 建议
1. 安全密钥依然是解决远程攻击以及登录的最优解决方案(目前来说)
2. Apple ID验证码存在通过授信任设备上的恶意应用,可以绕过认证系统。我的Apple的建议是在任何设备上进行了安全操作,都必须经过二次认证,在添加受信任号码、修改密码重要问题时需要重新进行二次认证,并且在授权验证码框内应该给予特殊的标识告知!
3. 并且原帖的评论提出在App内的弹窗是跟随应用窗口了,此时你可以返回桌面,如果是Apple自己的弹窗是高于一切App窗口的!在任何情况下都建议划一下!!!
# 补充
有没有发现少了什么?中间说的(标注*处)对方在恶意登录Apple ID时受信任号码也会收到一次通知,因为登录Apple ID优先使用受信任设备,而不是号码所以原帖中说明的没有收到过任何验证码,我存在一点怀疑!
———————————————-
但是不可否认Apple在这方面确实算是几家中比较好的,如果有其他建议和争议,希望您有好的提出问题并讨论![流汗滑稽]
注:每次测试在最新测试版中完成,可能与正式版有差异!