关于 App Store 恶意应用绕过「双重认证」攻击思路分析和预警

更新：已经有老哥渗透进了后台，删除了应用，目前后端接口不可用链接地址 V2EX 原帖地址：家人的 Apple ID 开了双重认证，仍然被钓鱼，求大佬解惑，也顺便给大家提个醒

基于 #89 楼回复分析如下：

攻击思路复现

1. 恶意应用伪装成为正常应用上架 App Store；
2. 用户下载恶意应用后，恶意应用设置隐藏的 WebView 嵌入 Apple ID 的 Web 地址，该操作会拉起系统级的授权弹窗，授权后应用二次弹窗收集用户的登录密码，因为是本机登录所以直接绕过「双重认证」；
3. 恶意应用通过往 WebView 注入 JS 实现登录并获取 Cookies 会话发送到服务器进行异地操作，将准备好的攻击者的手机号添加为「家人共享」成员为后面接收「双重认证」验证码做准备；
4. 等待晚上凌晨时间段，通过 Apple ID 后台执行远程抹除手机，防止用户收到扣费短信，然后通过攻击者的手机号接收「双重认证」登录 App Store 并通过邀请家庭成员代付虚拟商品实现盗刷。

防范

1. 不下载不知名的应用，就算上架了 App Store 也不代表它一定安全；
2. 使用 Apple ID 登录时需要注意登录的应用的授权名称与应用名称是否一致，该攻击手段中登录的地址为 appleid.apple.com，实际应用使用 Apple ID 登录时会显示应用名称，如下；
3. 为 Apple Store 自动扣款设置限额，目前绑定微信支付和支付宝支付设置位置如下：

• 微信：我-服务-钱包-支付设置-Apple服务扣费-扣费额度-修改
• 支付宝：我的-右上角齿轮⚙️-支付设置-免密支付/自动扣款-App Store & Apple Music-去管理-月限额

反思

按当前分析的攻击思路，那么 App Store 的审核机制有很大问题，相比之前需要通过社工手段迷惑性更强，危害性更大，资金被盗刷后还可能面临设备被抹除数据的风险，在等待 Apple 响应之前只能仔细甄别恶意应用避免受到钓鱼攻击。