苹果官方支持网页信息显示,受信任设备不会被要求输入验证码。
“差评”团队也认为,在该事件中,受害者固然有未仔细阅读弹窗说明便输入密码的过失,但苹果公司允许第三方App借助手机内置浏览器组件的便捷登录功能,拉起针对Apple ID管理后台等敏感网页的一键登录弹窗,是导致该骗局得以实现的重要原因,“它不是代码漏洞,而是一个逻辑漏洞”。
针对此诈骗手法,“差评”团队分别对iOS和Android系统的内置浏览器组件便捷登录功能进行了测试。结果显示,Android系统仅在用户直接使用内置浏览器登录账号时才能触发便捷登录,其他第三方App则无法调用该功能。换言之,该骗局仅能在iOS系统上实现。
“差评”团队测试发现,同类骗局无法在Android系统上复现。
今年2月已有用户反映App存在诈骗行径
发帖网友表示,其在事发当晚已报警,并向南都研究员出示了来自警方的立案告知单。此外,他还就被盗刷的订单向苹果公司申请退款。经多次申诉后,7月27日晚,苹果公司对相关订单全部进行了退款处理,但未就此事联系当事人作进一步解释。
发帖网友向南都研究员出示的立案告知单。
南都研究员留意到,涉事App已于7月25日从App Store下架。但历史数据显示,该App最早发布于2022年12月9日,且截至下架前有991条评分记录。今年2月,已有用户在App Store评论区反映其安装该App后收到账号异地登录和异常订单提醒,更有用户直指该App是诈骗软件。到底有多少用户遭遇过同类骗局并蒙受损失,仍是未知数。
今年2月,已有用户反映其安装涉事App后收到账号异地登录和异常订单提醒。
“差评”团队也指出,在App Store内搜索菜谱类应用,可以发现大量应用介绍与实际内容不符的App,苹果公司对上架应用的审核存在明显漏洞。
