一位蘋果用戶的App Store“漏洞”遭遇

對于曾經(jīng)或者正在通過第三方渠道、越獄渠道使用應(yīng)用的用戶來說,在蘋果的賬戶設(shè)置中開啟兩步驗(yàn)證功能是非常有必要的。

編輯辛羽2015年10月16日 09時00分

近日,有一位網(wǎng)友在微博上發(fā)布長圖文,稱他遭遇了一次莫名其妙的App Store“漏洞”。

根據(jù)這位ID為“像飛飛一樣的飛翔”的網(wǎng)友在長微博中的描述,他的賬戶莫名其妙地被更改了郵箱ID,隨后他的銀行賬戶被人盜用,往這個App Store賬戶里充入了上千元,并且這些錢最終都在某款國產(chǎn)手游網(wǎng)游中通過內(nèi)購消費(fèi)掉了。這條微博發(fā)出后獲得了上千次的轉(zhuǎn)發(fā),引起了許多蘋果用戶的共鳴。觸樂記者聯(lián)系到了這位網(wǎng)友,向他了解事情的經(jīng)過。

05

10月9日,“像飛飛一樣的飛翔”像往常一樣使用iPad上網(wǎng)。但在使用過程中,iPad突然彈出窗口,要求添加一個陌生人的郵箱。在他跳過之后,iPad又彈出了要求輸入蘋果ID密碼的提示。他發(fā)現(xiàn)此時輸入原先的ID和密碼已經(jīng)無法被識別。隨后他登陸官網(wǎng),官網(wǎng)提示他原本的ID并不存在。而他看到自己App Store賬戶中的余額增加了千余元。

在出現(xiàn)情況后,他立即撥打了蘋果客服,對方將他的電話轉(zhuǎn)到了賬戶處理部門。通過查詢,他發(fā)現(xiàn)自己的賬戶被更改為了“ouliang547479@163.com”這樣一個ID,而這正是此前iPad要求他添加的那個郵箱地址。通常來說,出現(xiàn)這種情況是因?yàn)檫@位網(wǎng)友的賬號被盜了。

“像飛飛一樣的飛翔”沒有收到任何提示。在他看來在無法獲知密保的情況下突然被修改了郵箱,完全是因?yàn)樘O果方面的漏洞。而隨后他通過試驗(yàn)發(fā)現(xiàn)自己的密碼并沒有被對方修改,而自己的郵箱也沒有問題。他更加確信這里出現(xiàn)了漏洞。

記者登錄Apple官網(wǎng)做了一次實(shí)驗(yàn)。在輸入正確的ID與密碼之后,我們可以進(jìn)入“我的Apple ID”頁面。在這里,用戶是可以修改自己的Apple ID的,而且并不需要密保問題,只需要通過新郵箱驗(yàn)證一下即可通過。而在通過之后,聯(lián)網(wǎng)的蘋果設(shè)備會彈出窗口要求重新輸入iCloud的密碼。這未必是一個漏洞。

06
事實(shí)證明這一步不需要再次輸入密碼或是通過密保安全問題驗(yàn)證

或許是因?yàn)槊鼙栴}的原因,盜號者沒有修改“像飛飛一樣的飛翔”的密碼,又或許是盜號者希望欺騙用戶,讓他們以為密碼已經(jīng)被篡改。當(dāng)記者向“像飛飛一樣的飛翔”詢問他平時使用iOS設(shè)備的習(xí)慣,他表示自己從來沒用過越獄設(shè)備,也并沒有用過快用一類的第三方應(yīng)用渠道,始終從App Store下載應(yīng)用,“不然也就不會向App Store中充錢了”。

事情還有后續(xù)。在App Store中增加的上千元余額是通過App Store選項(xiàng)中的銀行卡支付方式充值的。他發(fā)現(xiàn),之所以這些錢能夠從他本人的銀行賬戶轉(zhuǎn)到蘋果App Store充值賬戶中而沒有任何提示或是電話通知,是因?yàn)樗饲霸谑褂勉y行卡向蘋果賬戶充值時,第三方支付平臺首信易開通了一個名為“快捷易支付”的服務(wù),通過這一服務(wù),用戶可以在不輸入密碼的情況下從關(guān)聯(lián)賬戶中扣費(fèi)。而當(dāng)他詢問首信易的客服時,對方表示這一服務(wù)是在第一次接通電話時默認(rèn)開通的,但是取消的話需要回復(fù)當(dāng)時發(fā)來的信息,才能不開通。

07
在此之前,也曾有媒體報(bào)道,用戶在使用首信易支付之后,在自己不知情的情況下被扣款500元充值

首信易成立于1998年,屬于香港上市的國企首旅集團(tuán)的控股子公司,是App Store中國區(qū)的官方支付合作伙伴,其客戶包括北京市政府。記者試著向首信易客服詢問有關(guān)“快捷易支付”的情況,對方表示,首信易在蘋果充值過程中起到的是支付鏈接的功能,而至于“快捷易支付”是由其合作伙伴“易聯(lián)支付”提供的,在用戶第一次充值之后,易聯(lián)支付會電話回復(fù)用戶確認(rèn)電話和銀行卡號碼,并且發(fā)送短信通知。如果用戶不需要“快捷易支付”,可以通過短信回復(fù)取消。顯然,“像飛飛一樣的飛翔”被默認(rèn)開通這了一業(yè)務(wù),從而給盜號者可乘之機(jī)。而當(dāng)他按照首信易方面給到的客服電話聯(lián)系易聯(lián)支付時,對方給他發(fā)回郵件,表示“無法查詢所充值的蘋果賬號”?!八麄兒吞O果互相踢皮球!”“像飛飛一樣的飛翔”這樣告訴記者。

雖然在處理問題的過程中被“踢皮球”,與客服溝通的過程中也遭遇了不愉快的經(jīng)歷,但他還算是幸運(yùn)的。在最近一段時間里,很多用戶都發(fā)現(xiàn)自己的蘋果賬戶出現(xiàn)了問題。許多用戶甚至遭遇了通過Apple ID鎖機(jī)勒索的問題。更幸運(yùn)的是,蘋果最終承諾向“像飛飛一樣的飛翔”退回款項(xiàng)。

08
最終,這名遭遇“漏洞”的用戶得到了蘋果的退款,但與此同時還有許多用戶賬戶被盜,面臨盜刷、鎖機(jī)勒索的風(fēng)險

并沒有確鑿證據(jù)證明最近一段時間的盜號事件與Xcode Ghost漏洞有關(guān),但也值得所有蘋果用戶警覺。而從“像飛飛一樣的飛翔”賬戶里的錢流向某款手游的情況來看,這件事應(yīng)該與淘寶上的低價充值有關(guān),是整條灰色產(chǎn)業(yè)鏈上的一個環(huán)節(jié)。對于曾經(jīng)或者正在通過第三方渠道、越獄渠道使用應(yīng)用的用戶來說,非常有必要在蘋果的賬戶設(shè)置中開啟兩步驗(yàn)證功能,從而杜絕這種事情的再次發(fā)生。

0

編輯 辛羽

tanyuxin@chuapp.com

字斟句酌是為了讓心情充斥字里行間。

查看更多辛羽的文章
關(guān)閉窗口