苹果用户要小心了，根据AI企业家Parth Patel发布的推文，苹果的密码重置功能疑似存在漏洞，允许黑客在苹果设备上强制显示上百条重置密码的系统级提示。并且，由于重置密码提示是在系统级别发送的，用户必须一一点击取消，否则无法正常使用设备。

据了解，攻击者能够让受害者的iPhone、Apple Watch、Mac不断显示系统级别的密码重置提示。由于密码重置请求针对的是苹果ID，这些窗口会在受害者的所有苹果设备上弹出，并且直到受害者在每个设备上逐个全部取消弹出窗口为止，这些苹果设备都无法正常使用。Parth Patel因此不得不在100多个重置密码提示上一一点击“不允许”，同时其他受害者也报告了相近数量的弹窗通知。

与一般的钓鱼攻击不同，这类攻击称之为多因素身份验证疲劳攻击（MFA轰炸），目的是使受害者筋疲力尽不耐烦，直至允许攻击者更改其密码。

而在关闭弹窗约15分钟后，Parth Patel又接到了一个自称是苹果客服的电话，“苹果客服”告知Parth Patel他的账户受到攻击，请他验证信息并提供一次性重置代码。谨慎的Parth Patel要求来电者提供他的个人信息以证实身份，然而——“他几乎全都说对了，从出生日期、电子邮件、电话号码到当前地址、历史地址。”

幸运的是，Parth Patel有一个习惯，他会定期检查其个人信息在网上的泄漏情况，由此他发现对方的数据似乎来自PeopleDataLabs（一家B2B信息公司）。Parth Patel清楚记得PeopleDataLabs将他的名字与其他人搞混了，这让他立刻意识到整件事情都是一场骗局，避免了潜在的损失。

这类事件意味着苹果iForgot系统可能存在速率限制漏洞，允许向用户连续发送重置请求。目前苹果尚未就此问题作出解释。而在苹果解决此问题之前，假如有用户遇到了类似的情况，建议一一取消重置密码提示，并挂断自称是苹果客服的可疑电话。

编辑：左右里

资讯来源：X、macrumors

转载请注明出处和本文链接

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课