首页
社区
课程
招聘
[分享]不取消上百次弹窗就无法正常使用,苹果密码重置功能疑似存在漏洞
发表于: 2024-3-28 18:19 2669

[分享]不取消上百次弹窗就无法正常使用,苹果密码重置功能疑似存在漏洞

2024-3-28 18:19
2669

苹果用户要小心了,根据AI企业家Parth Patel发布的推文,苹果的密码重置功能疑似存在漏洞,允许黑客在苹果设备上强制显示上百条重置密码的系统级提示。并且,由于重置密码提示是在系统级别发送的,用户必须一一点击取消,否则无法正常使用设备。



据了解,攻击者能够让受害者的iPhone、Apple Watch、Mac不断显示系统级别的密码重置提示。由于密码重置请求针对的是苹果ID,这些窗口会在受害者的所有苹果设备上弹出,并且直到受害者在每个设备上逐个全部取消弹出窗口为止,这些苹果设备都无法正常使用。Parth Patel因此不得不在100多个重置密码提示上一一点击“不允许”,同时其他受害者也报告了相近数量的弹窗通知。



与一般的钓鱼攻击不同,这类攻击称之为多因素身份验证疲劳攻击(MFA轰炸),目的是使受害者筋疲力尽不耐烦,直至允许攻击者更改其密码。


而在关闭弹窗约15分钟后,Parth Patel又接到了一个自称是苹果客服的电话,“苹果客服”告知Parth Patel他的账户受到攻击,请他验证信息并提供一次性重置代码。谨慎的Parth Patel要求来电者提供他的个人信息以证实身份,然而——“他几乎全都说对了,从出生日期、电子邮件、电话号码到当前地址、历史地址。”



幸运的是,Parth Patel有一个习惯,他会定期检查其个人信息在网上的泄漏情况,由此他发现对方的数据似乎来自PeopleDataLabs(一家B2B信息公司)。Parth Patel清楚记得PeopleDataLabs将他的名字与其他人搞混了,这让他立刻意识到整件事情都是一场骗局,避免了潜在的损失。


这类事件意味着苹果iForgot系统可能存在速率限制漏洞,允许向用户连续发送重置请求。目前苹果尚未就此问题作出解释。而在苹果解决此问题之前,假如有用户遇到了类似的情况,建议一一取消重置密码提示,并挂断自称是苹果客服的可疑电话。



编辑:左右里

资讯来源:X、macrumors

转载请注明出处和本文链接


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
点赞0
支持
分享
最新回复 (1)
雪    币: 0
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
只有2个腰子
2024-3-30 16:59
0
游客
登录 | 注册 方可回帖
返回