如果已开启双重认证， Apple ID 是否仍能被盗刷？

今天刷到一个 8 月份的虎扑帖子，链接： https://bbs.hupu.com/23232363.html

标题写得是支付宝被盗刷，点进去看内容，是 Apple ID 被盗刷充值了游戏。
里面比较值得注意的，就是发帖者说”我老婆苹果账号开启了双重认证，但是另一个认证的设备不是我们的设备，还有一个尾号也不是我们手机的号码“。但关于是否有弹出过设备登陆提示等其它细节并没有讲。

常见 Apple ID 被盗多数都是未开启双重认证 /两步验证、被绑定家庭组之类的，像这样已经开启还被盗刷的倒是第一次听说（当然也可能我误解了帖子的意思...）。一般解决方案就是取消免密支付或者设置限额。

我是想请教一下，如果上述发帖者真的是开启双重认证后仍被盗刷，这个实现原理是什么？这个和伪基站＋中间人攻击应该没什么关系吧？又不是短信...

jjxtrotter

2018-10-07 09:31:44 +08:00

原帖中，

“ 1，我老婆苹果账号开启了双重认证，但是另一个认证的设备不是我们的设备，还有一个尾号也不是我们手机的号码，我刻意没让验证码发到那些设备过去，以防被骗”

认证的设备不是他的，手机号也不是他的，这个重大疑点竟然没有细说？？？
如果是在盗刷之前发现的，为什么不提高警惕查明什么情况？
如果是在盗刷之后发现的，为什么不从账户中移除？

另外，应该是只要是登陆了 iCloud 的设备都是信任设备，无法单独控制双重认证的验证码发送到哪个设备，不知道“刻意没让验证码发到那些设备过去，以防被骗”是怎么操作的？

bao3

2018-10-07 12:03:26 +08:00

故事多半是编的，因为苹果设备登陆一定要双重验证或者短信单独验证，而且仅 apple pay 与 ID 绑定，而且 apple pay 仅保留虚拟卡号，在陌生设备登陆一样需要走银联的验证。
总之，那个新闻要么说谎来夸大这个事情，赢取关注度，逼迫警察重视，要么就是编的，虚幻

liaoyaoheng

2018-10-07 16:48:44 +08:00

故事很多地方有矛盾，ios 只要不越狱，不搞什么破解。找出的漏洞的奖励应该比你损失。 @bao3

分析的很大的可能是：
事主之前没开几重验证，事主以前绑定了支付宝免密扣款，appleid 账号泄露或被撞库，或 id 绑定的邮箱被破，直接在其他设备登陆，进行购买盗刷。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/495219

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.