-
-
[分享]不取消上百次弹窗就无法正常使用,苹果密码重置功能疑似存在漏洞
-
发表于:
2024-3-28 18:19
4125
-
[分享]不取消上百次弹窗就无法正常使用,苹果密码重置功能疑似存在漏洞
苹果用户要小心了,根据AI企业家Parth Patel发布的推文,苹果的密码重置功能疑似存在漏洞,允许黑客在苹果设备上强制显示上百条重置密码的系统级提示。并且,由于重置密码提示是在系统级别发送的,用户必须一一点击取消,否则无法正常使用设备。
据了解,攻击者能够让受害者的iPhone、Apple Watch、Mac不断显示系统级别的密码重置提示。由于密码重置请求针对的是苹果ID,这些窗口会在受害者的所有苹果设备上弹出,并且直到受害者在每个设备上逐个全部取消弹出窗口为止,这些苹果设备都无法正常使用。Parth Patel因此不得不在100多个重置密码提示上一一点击“不允许”,同时其他受害者也报告了相近数量的弹窗通知。
与一般的钓鱼攻击不同,这类攻击称之为多因素身份验证疲劳攻击(MFA轰炸),目的是使受害者筋疲力尽不耐烦,直至允许攻击者更改其密码。
而在关闭弹窗约15分钟后,Parth Patel又接到了一个自称是苹果客服的电话,“苹果客服”告知Parth Patel他的账户受到攻击,请他验证信息并提供一次性重置代码。谨慎的Parth Patel要求来电者提供他的个人信息以证实身份,然而——“他几乎全都说对了,从出生日期、电子邮件、电话号码到当前地址、历史地址。”
幸运的是,Parth Patel有一个习惯,他会定期检查其个人信息在网上的泄漏情况,由此他发现对方的数据似乎来自PeopleDataLabs(一家B2B信息公司)。Parth Patel清楚记得PeopleDataLabs将他的名字与其他人搞混了,这让他立刻意识到整件事情都是一场骗局,避免了潜在的损失。
这类事件意味着苹果iForgot系统可能存在速率限制漏洞,允许向用户连续发送重置请求。目前苹果尚未就此问题作出解释。而在苹果解决此问题之前,假如有用户遇到了类似的情况,建议一一取消重置密码提示,并挂断自称是苹果客服的可疑电话。
编辑:左右里
资讯来源:X、macrumors
转载请注明出处和本文链接
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)