菜谱 App 弹出的那个“假登录界面”，其实也是有用的，它在后台已经完成了一次苹果账号登录。

　　假如用户给苹果账号绑定了支付方式 —— 就比如 airycanon 的丈母娘绑定了微信免密支付。

　　u1s1，这个骗子绝对是个惯犯。他为了避免受害人收到短信交易提醒，盗刷之前甚至还利用查找 iPhone 远程把受害者的手机给重置恢复出厂设置了。

　　比如我也在 App Store 里下载了几个菜谱大全，他们倒是没有盗我的密码，但是点开以后也都不是菜谱。

　　但是，就算 App 能通过钓鱼的方式骗到受害者苹果账户的密码，但是苹果本身是有 “ 两步验证 ” 机制的呀？

　　而且 airycanon 也在帖子里说明了，他丈母娘的 Apple ID 已经开启了两步验证。

　　这就很离谱了好吧，因为虽然“菜谱骗子”们骗过了苹果的 App 审核食补食谱一览表，但它们最多也只是，是在玩弄社会工程学食补食谱一览表，而不是病毒。

　　理论上来说，它们根本没有办法绕过苹果最根本的安全措施食补食谱一览表，在不弹任何验证码的情况下往苹果的双证验证系统里加入能收验证码的新手机号。

　　事情大概是这么回事：我们都知道，不管是 iPhone，还是安卓手机，系统里都会有一个预装的默认网页浏览器对不对。

　　这个 “ 浏览器框架 ” 不能被普通用户在手机里直接点开，它存在的意义，是供其他 App 调用的。

　　我们举个例子，就比方说美团滴滴他们经常在 App 里搞领券的活动，对于这种临时的活动页面一般就是写个网页食补食谱一览表。

　　这些 “ App 内的网页 ”，实际上都不是 App 本身在渲染，而是美团和滴滴拉起了系统里的 WebView 组件来进行渲染的。

　　这个组件其实帮了开发者很大的忙，假如没有 WebView 浏览器框架的话，包括美团和滴滴在内的所有 App 开发者嘻哈菜谱，都得往 App 里再额外集成一个独立的浏览器内核。

　　系统本身提供一个全局自动更新的浏览器框架，也可以避免一些 App 不更新内置的浏览器内核，导致黑客趁虚而入。

　　就比方说，假如你在 Windows 电脑上使用自带的 Edge 浏览器打开微软账户官网，Edge 浏览器不会让你输入微软账户的账号密码嘻哈菜谱。

　　假如你在登录了谷歌账号的安卓手机上使用谷歌 Chrome 浏览器，它也会自动帮你完成登录操作。

　　假如你点了 “ 继续 ”食补食谱一览表，得益于高性能的苹果 A16 处理器，系统会光速弹出 Face ID 验证。

　　说真的嘻哈菜谱，假如没有对比的话，菜谱大全的操作很容易会被大家当成是普通的 “ 一键注册账号 ” ——

　　包括发帖的 airycanon 也没反应过来，以为是丈母娘没有选苹果的隐私邮箱登录选项才暴露了 Apple ID，让黑客掌握了信息。

　　“ 菜谱大全 ” 之所以能够一键登录，恰恰就是利用了 WebView 这个系统级浏览器框架的 “ 便捷登录 ” 特性。

　　表面上，是一个菜谱 App，而在它的内部，隐藏了一个正在访问 Apple ID 官网、并准备篡改用户接收验证短信手机号的浏览器界面。

　　按照苹果 Apple ID 官网目前的安全逻辑，只有一开始的账号登录环节需要下发验证码做双重验证。

　　“ 菜谱大全 ” 先是在表层界面的下面，隐藏了一个 WebView 浏览器组件，然后利用它系统级的 “便捷登录” 能力，进入了 Apple ID 官网。

　　拿到密码之后，App 就会偷偷跑起添加新验证手机的自动脚本，这时候受害者的苹果账号就已经不属于自己了。

　　OK，复盘完毕，这么一看好像还是受害者太傻，平白无故把密码交出来了对不对 —— 假如受害者打死不填密码，黑客也没招。

　　和苹果 Apple ID 一样，只要已经处于登录状态了，谷歌这边的账号系统要想添加新的验证手机，也只是输一下固定密码的事。

　　我在自己的安卓手机上做了个小测试，分别使用谷歌 Chrome 浏览器和 Via 浏览器（ 一款直接调用系统 WebView 框架的极简浏览器 App ）访问谷歌账号官网。

　　但是在苹果系统里，不管是调用 WebView 的 Via，还是真正的自带浏览器 Safari嘻哈菜谱，都能调用便捷登录。

　　由于系统逻辑漏洞造成的问题，正确的解决方式应该是着手准备 OTA 补丁，同时帮着受骗的用户追回损失。

　　因为真要细究的话，安卓这边虽然把 WebView 的洞补上了，但是其他的漏洞更多、骗人的方式根本数不过来。

　　苹果生态总体来说都还是更安全的、让人用着更放心的，但是大家不要因为它 “安全” 的标签就变得麻木、不重视安全了。

　　但我觉得，我们还是要告诉他们即便是 iPhone，即便是 App Store，也不能保证绝对安全。