一位匿名讀者引用了 KrebsOnSecurity 報告。 幾位蘋果客戶最近報告稱,他們遭到了精心設計的網路釣魚攻擊,該攻擊似乎是蘋果密碼重置功能中的一個錯誤。在這種情況下,目標 Apple 設備被迫顯示許多系統級提示,阻止接收者使用該設備,直到他們對每個提示做出「允許」或「不允許」回應。假設用戶在第 10 次密碼重設請求中沒有按錯按鈕,騙子就會透過來電顯示冒充 Apple 支援來呼叫受害者,並通知用戶用戶的帳戶已被攻擊,並且 Apple 支援會說:「我們需要檢查。” 「一次性代碼。 […]
是否有一種設計巧妙的身份驗證系統,可以在用戶從未處理過第一個請求的情況下,在幾分鐘內發出數十個密碼更改請求?這是Apple 系統錯誤的結果。是嗎?業餘愛好者Kishan Bagaria創辦 texts.com 網站(現為 Automattic 所有)的安全研究員和工程師堅信蘋果公司存在問題。 2019 年 8 月,Bagaria 向 Apple 報告了一個錯誤,該錯誤啟用了他稱之為「AirDoS」的漏洞。這是因為攻擊者可以利用它來顯示系統級提示,無限期地向附近的所有 iOS 裝置發送垃圾郵件,從而允許它們透過 AirDrop 共享檔案。 -Apple 產品內建的分享功能。
蘋果在近四個月後的 2019 年 12 月修復了該漏洞,並感謝 Bagaria 發布相關安全公告。 Bagaria 表示,蘋果的解決方案是對 AirDrop 請求添加更嚴格的速率限制,並且有人找到了一種方法來繞過蘋果對給定時間內可以發送的密碼重置請求數量的速率限制。懷疑是這樣。 「我認為這可能是一個合法的蘋果速率限制錯誤,應該報告,」巴加里亞說。