眾所周知,蘋果一直在宣傳自己的安全、隱私、可控。
而且在過去,它也足夠的安全。
但世界上也沒有絕對堅固的牆,大家也別因為這樣,就徹底放鬆警惕。
因為今天,它就翻車了。。。
事情是這樣的,一個網友的丈母孃被 App Store 應用商店裡的 「騙子 App」 騙走了一萬五千元。
直到目前,他們被盜刷的錢都沒能追回。
而我在覆盤完事情的完整經過之後發現,其中兩個重要環節,都是蘋果出現了問題。
但凡蘋果在這兩個環節中的任何一個環節有安全措施,也不至於讓騙子得逞。
先跟大家聊聊大概發生了什麼事吧,大家可以先看看原博主 airycanon 描述的事情經過~
上下滑動可以查看完整長圖
簡單來說,就是 airycanon 的丈母孃從 AppStore 應用商店裡下載了一個菜譜 App。
但是這個 App 本身有問題,打開 App 之後,首先會彈出一個 Apple 賬號登入界面。
用過 iPhone 的小夥伴都知道,不少 App 都支持使用蘋果賬號一鍵註冊登入,就像微信小程序一鍵登入一樣。
所以這一步看起來是合理的。
但其實,真正的蘋果一鍵登入界面,是這個樣子的:
大家可以上下對比看看
菜譜 App 彈出的那個「假登入界面」,其實也是有用的,它在後臺已經完成了一次蘋果賬號登入。
至於有什麼用途,我們放到後面再說。
登入彈窗之後,這個 App 又彈出一個仿照系統界面設計的密碼輸入界面。
因為長得和安裝應用時候的密碼驗證界面很像,手機用的不那麼靈光的老人還是很容易中招的。
App”L”eID。。。
自此,騙子就搞到了受害者 iPhone 的賬號和密碼。
假如使用者給蘋果賬號綁定了支付方式 —— 就比如 airycanon 的丈母孃綁定了微信免密支付。。。
那騙子就可以開始盜號刷刷刷了。
u1s1,這個騙子絕對是個慣犯。他為了避免受害人收到簡訊交易提醒,盜刷之前甚至還利用查找 iPhone 遠端把受害者的手機給重置恢復出廠設置了。。。
這要是沒用 iCloud 備份相簿的人,不得氣瘋了。。。
真·砂仁豬心。
OK,事情大概就是這麼一回事,講道理,看完之後我整個人就是一個大寫的懵。
首先,我倒是理解這種騙人 App 能堂而皇之在蘋果官方 App Store 上架。。。
因為騙過蘋果商店審核的操作在業內根本不算什麼秘密。
馬甲包、同 ID 雙版本、幸運按鈕。。。黑產總有辦法。
比如我也在 App Store 裡下載了幾個菜譜大全,他們倒是沒有盜我的密碼,但是點開以後也都不是菜譜。
而是一個個關不掉的強制彈窗,「 幫 」 我開各種彩鈴包、權益合約包。。。
難得遇到了一個正經菜譜 App,結果剛看了兩個菜,就要收我 28。。。
不對,是每週 28 塊錢。。。
我估計正經廚房類 App 的產品經理們都得看傻了:同行們黑心錢都這麼好賺的嗎?
「 非強制消費」
但是,就算 App 能通過釣魚的方式騙到受害者蘋果賬戶的密碼,但是蘋果本身是有 「 兩步驗證 」 機制的呀?
在登入新設備或者瀏覽器的時候,除了輸入密碼,蘋果還會要求輸入一個簡訊驗證碼。
而且 airycanon 也在帖子裡說明了,他丈母孃的 Apple ID 已經開啟了兩步驗證。
但是他們自始至終沒有收到蘋果的驗證碼。
這時候他發現,丈母孃賬號的兩步驗證設置裡,多出來了一個從來沒見過的境外號碼。
怪不得自己手機上沒有驗證碼了,因為接收驗證碼的手機已經變成騙子的手機了。。。
考慮到設置兩步驗證是一個挺複雜的操作、即使手把手跟丈母孃說都不一定能設置成功。
那這個號碼只能是騙子偷偷添加進來的了。。。
這就很離譜了好吧,因為雖然「菜譜騙子」們騙過了蘋果的 App 審核,但它們最多也只是詐騙,是在玩弄社會工程學,而不是病毒。
理論上來說,它們根本沒有辦法繞過蘋果最根本的安全措施,在不彈任何驗證碼的情況下往蘋果的雙證驗證系統里加入能收驗證碼的新手機號。。。
這一點是我和編輯部小夥伴們都感覺非常詫異的,也是今天關注到這件事的網友們討論最激烈的。
不過在一段討論之後,研究蘋果開發的 BugOS 技術組提到了一種可能的思路:
上面截圖裡的內容大家看不懂沒關係,簡單來說,蘋果瀏覽器框架的安全策略出了問題。
事情大概是這麼回事:我們都知道,不管是 iPhone,還是安卓手機,系統裡都會有一個預裝的默認網頁瀏覽器對不對。
比如 iPhone 上就是 Safiri,安卓這邊則是各家的自帶瀏覽器。
但這其實只是表面上的瀏覽器。
但其實,再往系統底層找,還有一個「沒有圖示」的瀏覽器框架:WebView。
這個 「 瀏覽器框架 」 不能被普通使用者在手機裡直接點開,它存在的意義,是供其他 App 調用的。
我們舉個例子,就比方說美團、滴滴他們經常在 App 裡搞領券的活動,對於這種臨時的活動頁面一般就是寫個網頁。
這些 「 App 內的網頁 」,實際上都不是 App 本身在渲染,而是美團和滴滴拉起了系統裡的 WebView 元件來進行渲染的。
這個元件其實幫了開發者很大的忙,假如沒有 WebView 瀏覽器框架的話,包括美團和滴滴在內的所有 App 開發者,都得往 App 裡再額外集成一個獨立的瀏覽器核心。
本身現在的 App 們就已經很佔儲存空間了,要是一人再背一個 Chrome。。。
畫面太美了,我不敢想!
另外,作為網路世界的窗口,瀏覽器漏洞本身也是很多駭客行為的突破口。
系統本身提供一個全局自動更新的瀏覽器框架,也可以避免一些 App 不更新內建的瀏覽器核心,導致駭客趁虛而入。
這次的問題,恰恰就出在這個 「為了不出問題」 而設計的系統級瀏覽器框架上。
不知道大家有沒有體驗過系統瀏覽器的 「便捷單點登入」 功能。
就比方說,假如你在 Windows 電腦上使用自帶的 Edge 瀏覽器打開微軟賬戶官網,Edge 瀏覽器不會讓你輸入微軟賬戶的賬號密碼。
而是會自動讀取當前電腦裡登入的微軟賬戶,然後幫你在瀏覽器網站裡完成登入。
假如你在登入了Google賬號的安卓手機上使用Google Chrome 瀏覽器,它也會自動幫你完成登入操作。
蘋果也是如此,假如你在 Safari 瀏覽器裡打開 Apple ID 官網,並點選登入。
瀏覽器也不會讓你輸入密碼,而是直接彈出來一個登陸操作的確認框。
假如你點了 「 繼續 」,得益於高性能的蘋果 A16 處理器,系統會光速彈出 Face ID 驗證。
一個眨眼的功夫,就登入成功了。
誒,等會兒。。。
這個登陸框,怎麼有點兒眼熟啊???
為什麼 「 菜譜大全 」 會請求登入 Apple ID 官網啊???
說真的,假如沒有對比的話,菜譜大全的操作很容易會被大家當成是普通的 「 一鍵註冊賬號 」 ——
包括髮帖的 airycanon 也沒反應過來,以為是丈母孃沒有選蘋果的隱私郵箱登入選項才暴露了 Apple ID,讓駭客掌握了資訊。
真正的一鍵註冊環節會要求選擇是否隱藏郵件地址
實際上,當這個確認窗驗證完畢之後,騙子都已經準備好往賬號里加料了。。。
「 菜譜大全 」 之所以能夠一鍵登入,恰恰就是利用了 WebView 這個系統級瀏覽器框架的 「 便捷登入 」 特性。
表面上,是一個菜譜 App,而在它的內部,隱藏了一個正在訪問 Apple ID 官網、並準備篡改使用者接收驗證簡訊手機號的瀏覽器界面。
我後來看 BugOS 技術組又發了一個微博,他們已經用自己寫的程式碼還原完整個攻擊過程了。
按照蘋果 Apple ID 官網目前的安全邏輯,只有一開始的賬號登入環節需要下發驗證碼做雙重驗證。
而這最開始的一步,騙子已經通過 WebKit 的便捷登入繞過去了。
已經處於登入狀態的情況下,只要輸固定的賬號密碼,就可以直接添加新的驗證手機了。
現在相信大家已經徹底搞明白背後是怎麼一回事兒了,這時候我們再重新回看故事的全貌:
「 菜譜大全 」 先是在表層界面的下面,隱藏了一個 WebView 瀏覽器元件,然後利用它系統級的 「便捷登入」 能力,進入了 Apple ID 官網。
接著,它給使用者彈出了一個密碼輸入框,用來搞定添加驗證手機的最後一步障礙。
拿到密碼之後,App 就會偷偷跑起添加新驗證手機的自動腳本,這時候受害者的蘋果賬號就已經不屬於自己了。
什麼時候發起攻擊,全看駭客心情了。
OK,覆盤完畢,這麼一看好像還是受害者太傻,平白無故把密碼交出來了對不對 —— 假如受害者打死不填密碼,駭客也沒招。
我們不應該罵蘋果對不對?
emmmm,在下這個結論之前,我想先帶大家看一看蘋果的老對手 —— Google是怎麼做的。
和蘋果 Apple ID 一樣,只要已經處於登入狀態了,Google這邊的賬號系統要想添加新的驗證手機,也只是輸一下固定密碼的事。
但是和蘋果不同,Google根本不允許系統的 WebView 元件使用 「便捷登入」 技術。
我在自己的安卓手機上做了個小測試,分別使用Google Chrome 瀏覽器和 Via 瀏覽器( 一款直接調用系統 WebView 框架的極簡瀏覽器 App )訪問Google賬號官網。
Chrome 瀏覽器因為已經獲取了系統裡的賬號登入狀態,因此直接就登入了。
Via 瀏覽器則沒有這個能力,需要一步步重新輸入賬號、密碼、驗證碼。
換句話說,假如有騙子想在安卓手機上做一個同樣套路的事,第一步就卡住了。。。
但是在蘋果系統裡,不管是調用 WebView 的 Via,還是真正的自帶瀏覽器 Safari,都能調用便捷登入。
再搭配上 App Store 的審核漏洞,一鍋好菜就出爐了。。。
嚴格來說,這對於 iOS 系統來說也算是一個漏洞 —— 它不是程式碼漏洞,而是一個邏輯漏洞。
騙子利用蘋果開放的便捷登入能力,偽裝了自己一波,再利用一點點社工技巧,就把錢騙到手了。
由於系統邏輯漏洞造成的問題,正確的解決方式應該是著手準備 OTA 補丁,同時幫著受騙的使用者追回損失。
不過蘋果給這個受害者帶來的感知,並不是很好。。。
可能現在時間還比較短,希望蘋果後續可以幫這個受害者妥善解決。
不瞞大家說,本來我今天是沒打算寫這篇文章的。
因為真要細究的話,安卓這邊雖然把 WebView 的洞補上了,但是其他的漏洞更多、騙人的方式根本數不過來。
蘋果生態總體來說都還是更安全的、讓人用著更放心的,但是大家不要因為它 「安全」 的標籤就變得麻木、不重視安全了。
就像大家都說沃爾沃安全,但你不能因為這點就不握著方向盤了。。。
相信很多給家長買 iPhone 的小夥伴,都是希望家長儘可能不被騙。
但我覺得,我們還是要告訴他們即便是 iPhone,即便是 App Store,也不能保證絕對安全。
不隨便輸密碼、不給所有 App 用一模一樣的密碼是最後的底線。
千萬記得叮囑他們,免密支付能不開就不開。如果開了的話,免密支付的卡里面也不要放太多的錢。
撰文:米羅編輯:面線 大餅美編:萱萱 陽光
圖片、資料來源:
IT之家:蘋果 iPhone 曝光重大漏洞,Apple ID 開啟雙重驗證仍被盜刷。
V2EX:@ airycanon
新浪微博:@ BugOS技術組
米羅的 iPhone
