資安公司 KrebsOnSecurity 的最新報告指出,近期由於 Apple 的密碼重置功能漏洞,導致許多 Apple 使用者收到看似無止盡的密碼重置要求,若不小心批准,就能讓攻擊者更改 Apple ID 的密碼,而被害者再也無法順利登入其帳戶。
據悉,該攻擊可能在 iPhone、Apple Watch 或 Mac 等裝置上發生,攻擊者會在目標裝置上一遍遍地顯示密碼重置要求,若被害者不小心按下「允許」,其 Apple ID 密碼將遭到更改。
且由於密碼重置要求是系統層級的通知,因此在通知顯示時,所有連結至該 Apple ID 的裝置都將無法正常使用。有被害者分享其經歷,表示他在點擊了超過百次「不允許」後,才有辦法繼續使用設備。
尤有甚者,該被害者按下不允許後,接到了謊稱是 Apple 官方的電話,對方還向他要求提供一次性的密碼重置代碼,直到他向官方確認後,才確定 Apple 未曾提出此要求。
報告認為,被鎖定的攻擊目標大部分是有將電子郵件與電話號碼綁定於 Apple ID 的使用者。資安公司呼籲,當使用者遭到攻擊時,絕對不要按下「允許」,同時也要記得 Apple 不會撥打電話要求使用者提供一次性密碼重置代碼。
