被偷走的22萬賬號:蘋果商店后臺盜刷事件調(diào)查

“有的人被盜刷,說明他們的賬戶已經(jīng)泄露;有的人慶幸逃過一劫,但不代表他們是安全的。我不知道隱藏的產(chǎn)業(yè)鏈條,幕后的利益驅(qū)使是什么,但是說實話,我挺憤怒的?!?

讀者陳祺2015年08月25日 18時04分

盜刷

7月19日早上7點,像往常一樣,蘋果手機用戶“薔薇予酒”起床后打開手機,習慣性地滑動幾下,點開蘋果商店看看有沒有新游戲上架,他發(fā)現(xiàn)已購項目里有一個叫做《熱血街霸3D》的游戲。

“我以人格擔保從沒下過這款游戲?!?他對觸樂記者說。

前三個App是在“薔薇予酒”不知情的情況下下載的
前三個App是在“薔薇予酒”不知情的情況下下載的

“薔薇予酒”的已購項目中還有兩個從未下載過的的App:《心探》和《安徒生童話》?!啊稛嵫职?D》是7月17日下載,《安徒生童話》是7月21日?!苯貓D清晰地記載了兩款App下載的時間?!八N薇予酒”告訴觸樂記者,他的手機一直是用PP助手越獄,雖然之前聽說過手機越獄后會被后臺偷偷下載App的新聞,但自己從未遇到這種情況,也沒當回事。

他開始尋找盜刷的元兇。起初,他懷疑PP助手從中作祟,因為曾經(jīng)在PC端登陸過PP助手,而且也綁定過蘋果賬戶,“可那是半年前的事情,要盜刷早就做了,何必等到現(xiàn)在?!焙髞硭謶岩墒翘O果漏洞(兩年前盜刷風波曾經(jīng)有過一次爆發(fā),當時Struts2漏洞曾被認為是賬號泄露的原因之一)而導致的用戶信息泄露,但“兩年過去了,蘋果公司肯定已經(jīng)修復了漏洞。”

尋求答案未果,“薔薇予酒”登陸自己經(jīng)常瀏覽的威鋒網(wǎng)論壇,意外發(fā)現(xiàn)如此遭遇的不是一個人:論壇里一夜之間出現(xiàn)大量用戶的發(fā)帖,談論的都是被盜刷的經(jīng)歷。

“羅生門”

觸樂記者在威鋒網(wǎng)論壇發(fā)現(xiàn),最近一個月內(nèi)有超過3245個帖子包含“盜刷”關鍵詞,另一關鍵詞“刷榜”則有3246個結果。而搜索論壇推薦熱門詞“iTunes”,近一個月內(nèi)結果也僅為4238個帖子。這說明,至少在威鋒網(wǎng)上,“盜刷”、“刷榜”在七月已經(jīng)達到熱門搜索的層級。

搜索結果日期集中在7月20日前后
搜索結果日期集中在7月20日前后

6月30日,蘋果正式發(fā)布iOS 8.4正式版。新版上線僅一小時后,PP助手便發(fā)布“iOS8.4完美越獄”工具,而另一個越獄組織太極越獄則指責PP助手團隊早已從內(nèi)核層面完成了對太極越獄工具的反編譯,抄襲其iOS8.1.3-8.3越獄工具;7月初,第一次大規(guī)模盜刷事件爆發(fā),許多用戶反映后臺被下載《隨時融》、《簡理財》等App。7月17——7月20日,第二次大規(guī)模盜刷事件爆發(fā),涉及App為《熱血街霸3d》、《安徒生童話》、《心探》等。

用戶遇到的情況也是五花八門:有的用戶稱只越獄沒安裝助手被盜刷,而且不論是使用太極越獄還是于PP助手合作的盤古越獄,都有可能遇到;有的用戶因為在手機助手里綁定蘋果賬號被盜刷,而用戶所稱的“手機助手”涉及的范圍很大,“我用itools被盜刷了,后來我為了實驗,還原再越獄用PP助手又被盜刷了?!蹦澄痪W(wǎng)友回憶說,他在第一次和第二次盜刷間使用了兩種手機助手,結果都沒能幸免。有的用戶沒綁定蘋果賬號,只用助手下載軟件也被刷,甚至有用戶發(fā)帖稱:“我的手機沒越獄也被盜刷了?!庇浾卟稍L到這位名叫“凌玄軒”的網(wǎng)友,他告訴我,自己從沒越獄過,不存在越獄漏洞后門一說,但是也被盜刷了。

盜刷涉及的利益相關方面之多極大增加了事件的復雜程度。后臺盜刷只是一個結果,由結果反推原因,用戶操作的每一環(huán)都成為被懷疑的對象:從越獄開始,安裝第三方的Cydia插件,安裝手機助手,安裝各種“幫助軟件”,任何一步都可能成為盜刷的真兇。

疑云

《熱血街霸3D》被懷疑是“盜刷”的獲益者,在App Annie中搜索《熱血街霸3D》的相關數(shù)據(jù)時,觸樂發(fā)現(xiàn)在7月19日,游戲在免費榜的排名由前一日的接近1000名飆升至48名,在隨后三天內(nèi)也都保持在前100名,這也暗合論壇反映的第二次盜刷事件的爆發(fā)時間。記者聯(lián)系到游戲負責人試圖進行采訪,在向他提出相關的問題后,他的回答語焉不詳——在反復明確我的問題后,便再也沒有回應。

而在今天凌晨兩點,這款游戲在一次App Store榜單變動中排名消失,被蘋果除名。

數(shù)據(jù)顯示《熱血街霸3D》在7月19日排名大幅提高
數(shù)據(jù)顯示《熱血街霸3D》在7月19日排名大幅提高,但在今日凌晨從榜單除名

從論壇以及采訪獲得的信息來看,用戶普遍對手機助手的意見最大。而PP助手的相關人員則表示:“從蘋果商店下載App要密碼,要Touch ID,這些跳得過嗎?” 他否認了用戶對PP助手的指控,并向記者解釋,PP助手主要靠游戲聯(lián)運盈利,不會竊取用戶的Apple ID作為商業(yè)用途。他告訴記者,蘋果對系統(tǒng)的限制很大,即便是越獄后,權限的突破也是非常有限的。

這不是盜刷事件的第一次爆發(fā)。2013年7月,大量越獄蘋果用戶反映蘋果商店后臺自動下載App,當時的情討論也是眾說紛紜,莫衷一是。PP助手當時就曾發(fā)表過官方聲明,在文章的結尾處,他們堅決地否認了外界的猜疑:“PP助手官方承諾絕不會利用包括用戶帳戶在內(nèi)的任何用戶隱私進行刷榜等非法行為,如有違反此承諾,愿意接受一切經(jīng)濟賠償和法律制裁,歡迎各方監(jiān)督!”

PP助手兩年前發(fā)布的官方聲明
兩年前,針對第一次盜刷事件,PP助手發(fā)布的官方聲明

而專門負責App推廣的孫先生則認為被盜刷很可能是因為用戶越獄中了第三方插件的木馬,“iOS刷榜的操作成本很高,真如你說的情況一樣,那公司的推廣經(jīng)費應該是天文數(shù)字?!睂O先生向觸樂記者介紹,在他認識的刷榜公司里,還沒有哪家能提供后臺盜刷服務?!耙部赡苁俏业臋嘞薏粔颍拖窆哦甑募庳浂际橇艚o大客戶看的,你可以跟刷榜公司聊聊?!?/p>

順著孫先生提供的思路,記者佯裝公司App需要推廣,在與多家刷榜公司交流后,獲得與其中一家直接溝通的機會。在與對方的交流中,記者首先詢問一些常規(guī)沖榜的價格,當對話進展一段時間后,有意地提到能否提供“后臺盜刷”的服務?!澳f的這個我們真做不到,這也太惡心了?!睂Ψ街苯亓水?shù)馗嬖V記者,如果是刷榜的話,據(jù)他所知,行業(yè)內(nèi)其他公司也不提供此類服務,這也應驗先前孫先生說的話。

轉(zhuǎn)機

正當事件越來越撲朔迷離的時候,今日(8月25日)凌晨的一條微博讓整個事件出現(xiàn)轉(zhuǎn)機。(微博鏈接

威鋒技術組在凌晨0點52分時發(fā)布長微博稱發(fā)現(xiàn)某搶紅包類助手通過后臺注入存在收集用戶iCloud用戶賬號、密碼行為,此行為被認為與前段時間“被刷榜”事件有緊密的聯(lián)系。而通過漏洞檢測發(fā)現(xiàn),共有22萬個左右有效的iCloud賬號與密碼被盜取,威鋒技術組正在全面展開證據(jù)收集工作。微博還附有一張長圖,詳細驗證用戶資料被泄露的真實性。

目前有225563個蘋果賬戶被泄露,數(shù)量依然在增加
目前有225563個蘋果賬戶被泄露,數(shù)量依然在增加

威鋒技術組并未指明“搶紅包類助手”系哪家,但由于涉及面非常大,隨后,威鋒將此漏洞提交到了烏云漏洞報告平臺及CNCERT國家互聯(lián)網(wǎng)應急中心處理。

觸樂記者聯(lián)系到最早發(fā)現(xiàn)此漏洞的技術工程師i_82,他接受了我們的采訪。i_82是從7月開始關注這件事情的,但直到8月24日晚,他從互聯(lián)網(wǎng)上抽查了一款“當下最熱門的搶紅包軟件”,然后才發(fā)現(xiàn)了這個漏洞。

包括微信在內(nèi)的各類即時通訊軟件提供的紅包功能誘發(fā)了用戶的欲望,而各種“搶紅包”插件則讓這些欲望得以實現(xiàn)。在金錢——哪怕是幾分錢人民幣——面前,很多用戶的理智降至底線,他們不加驗證地在自己的手機上安裝各種搶紅包插件——而這些插件中多數(shù)含有木馬。

“通訊軟件應該是有責任的,客戶端的反動態(tài)調(diào)試和反靜態(tài)分析都沒有達到作為一款支付軟件應有的標準?!?i_82對觸樂記者表示,插件的工作原理是針對微信創(chuàng)建“鉤子”,獲取當前的用戶登錄信息,當收到紅包事件的時候做出反應。然后偽裝成微信客戶端,以用戶的登錄信息,向服務器發(fā)送領取紅包的請求,達到領取紅包的目的。

i_82指出,部分通訊軟件在處理紅包邏輯上可能存在問題,用戶在領取紅包之前能從服務器獲取到紅包領取情況。但他同時向觸樂記者表示,大部分通訊軟件本身的登錄狀態(tài)應該受到了嚴格的控制,用戶的通訊軟件帳號密碼應該是安全的。

眾所周知的是,越獄后的iPhone無法為用戶提供哪怕是最初級的安全保障。僅在i_82檢查的這個插件中,就已經(jīng)發(fā)現(xiàn)超過22萬個iCloud 帳號被泄露,除了這些帳號信息之外,泄露的資料甚至包括各類游戲的帳號鑒定,即使用搶紅包軟件的用戶的游戲帳號及密碼也同時存在泄露的危險。

“這只是龐大刷榜黑色產(chǎn)業(yè)的冰山一角”。i_82對觸樂記者表示。“iCloud 密碼更容易被劫持,且風險更小,更隱蔽?!?/p>

?深憂

蘋果因為高度自動化、一體化與封閉化的生態(tài)與設計而受到用戶的廣泛歡迎與贊譽,而一旦用戶越獄,安全上的防護就幾乎為零,但大多數(shù)用戶忽視了這種脆弱。

第三方Cydia插件一直被iOS越獄用戶視為福音。通常來說,在越獄之后,用戶需要手動通過破解軟件Cydia添加來自不同“源”的第三方插件方便自己使用手機。第三方插件的功能非常強大,比如上文提到的搶紅包助手,幫助用戶在所有搶紅包競爭中占得先機,datameter可以給蘋果用戶提供流量統(tǒng)計這種越獄前不具有的實用功能,IAPCrazy則可以直接破解游戲里的內(nèi)購系統(tǒng),幫用戶輕松破解內(nèi)購系統(tǒng)。目前國內(nèi)國外有諸多的“源”地址,比如威鋒源是國內(nèi)最大的源,有很多第三方作者源依附在威鋒源上,而其他的越獄“源”地址比如25pp助手源、3k源,游戲助手源比如178源,叉叉助手源都是比較有影響力的“源”地址。

在威鋒源網(wǎng)站里有種類繁多的源地址推薦
在威鋒源網(wǎng)站里有種類繁多的源地址推薦

“盜刷”的真兇就是第三方插件嗎?在事情水落石出之前,誰都不敢妄下結論。觸樂聯(lián)系到國內(nèi)一家負責軟件評測團隊的負責人,他恰好最近在關注盜刷事件,也看到了威鋒網(wǎng)技術組最新發(fā)布的微博。據(jù)他介紹,所有的插件都可以安裝后門軟件盜取用戶信息,在技術層面沒有任何問題,“我現(xiàn)在擔心的不只是某紅包類助手,而是其背后的‘源’把后門軟件植入到每一個開發(fā)的插件里。”

保護與反擊

疑云何時散去還不得而知,受害的用戶們已經(jīng)開始有意識的保護賬戶安全,通過行動去維護自己的權益。

在被刷之后,“薔薇予酒”第一時間修改了賬戶密碼,并且開啟二步驗證,“這種事不會斷的,等過了這段時間,肯定還會繼續(xù)活動?!彪m然最近風平浪靜,他對“盜刷”依然心有余悸。威鋒網(wǎng)友“rong4520”也遇到了盜刷的情況,“提高安全防范意識。是每一個人必修的課程,不要等事情到了無法挽回的地步才后悔莫及?!彼o記者舉了個例子,用戶安裝和使用任何軟件時,通常的做法就是速度點擊“我同意”,根本不會仔細瀏覽詳細條款。其實被盜,往往都是用戶疏忽造成的。痛定思痛,他整理了六條保護賬號安全的措施,比如“越獄用戶請不要下載來歷不明的插件,修改‘root shh’等密碼,至少我們要做物所能及的安全工作”以及“卸載XX助手,給予他們嚴厲的打擊。某些助手就裝逼了,我有XX粉絲數(shù)百萬。但是水能載舟,亦能覆舟”等。

個人賬戶安全的“六條宣言”
個人賬戶安全的“六條宣言”

給蘋果商店寫郵件投訴是受害用戶最先想到的維權方式?!俺杉盐?023”把盜刷的App直接舉報給蘋果商店,可得到回復并不令人滿意?!疤O果官方讓我隱藏被盜刷的應用,可這有什么用呢?”他告訴我們,被隱藏還是計算App的下載量,蘋果商店如果不能撤銷購買,舉報和投訴就沒有任何作用。記者在論壇里看到,已經(jīng)有不少網(wǎng)友寫郵件投訴盜刷應用,希望官方可以主持公道,可是從蘋果官方的回復來看,這個方法收效甚微。

而有的受害用戶已經(jīng)想出了另類的“反擊”方式:給刷榜App打一星評價。在“倡議:被盜刷后的另類應對方法!”的帖子中,我們看到,威鋒網(wǎng)友“cnsccdjp”倡議大家給盜刷的App打一星評價,并得到了其他網(wǎng)友的熱烈相應,“我倡議所有被盜刷過的用戶給相應的軟件差評,這樣拉低相應軟件的評價,看這些應用商還敢不敢找此類的黑推廣?!?/p>

某盜刷游戲評論區(qū)的連續(xù)10條評論
某“盜刷”游戲評論區(qū)的連續(xù)10條評論

在采訪的末尾,“薔薇予酒”表達了自己的感受:“有的人被盜刷,說明他們的賬戶已經(jīng)泄露;有的人慶幸逃過一劫,但不代表他們是安全的。我不知道隱藏的產(chǎn)業(yè)鏈條,幕后的利益驅(qū)使是什么,但是說實話,我挺憤怒的?!?/p>

各種試圖操作榜單的行為從未停止過,也一定會有一個組織在廠商與這些非法的搶紅包助手開發(fā)小組之間作為對接行業(yè)的中介,在可預見的將來,這種行為還會不斷升級,未來也許會出現(xiàn)什么新的漏洞,而這個行業(yè)里對蘋果榜單虎視眈眈的人們?nèi)匀粫粨矶稀?/p>

戰(zhàn)爭從未停止,戰(zhàn)爭可能會升級。

0

讀者 陳祺

593899649@qq.com

贊美兔兔!

查看更多陳祺的文章
關閉窗口