7月19日早上7點,像往常一樣,蘋果手機用戶“薔薇予酒”起床後打開手機,習慣性地滑動幾下,點開蘋果商店看看有沒有新遊戲上架,他發現已購項目裡有一個叫做《熱血街霸3D》的遊戲。
“我以人格擔保從沒下過這款遊戲。” 他對記者說。
前三個App是在“薔薇予酒”不知情的情況下下載的
“薔薇予酒”的已購項目中還有兩個從未下載過的的App:《心探》和《安徒生童話》。“《熱血街霸3D》是7月17日下載,《安徒生童話》是7月 21日。”截圖清晰地記載瞭兩款App下載的時間。“薔薇予酒”告訴觸樂記者,他的手機一直是用PP助手越獄,雖然之前聽說過手機越獄後會被後臺偷偷下載 App的新聞,但自己從未遇到這種情況,也沒當回事。
他開始尋找盜刷的元兇。起初,他懷疑PP助手從中作祟,因為曾經在PC端登陸過PP助手,而且也綁定過蘋果賬戶,“可那是半年前的事情,要盜刷早就做瞭,何必等到現在。”後來他又懷疑是蘋果漏洞(兩年前盜刷風波曾經有過一次爆發,當時Struts2漏洞曾被認為是賬號泄露的原因之一)而導致的用戶信息泄露,但“兩年過去瞭,蘋果公司肯定已經修復瞭漏洞。”
尋求答案未果,“薔薇予酒”登陸自己經常瀏覽的威鋒網論壇,意外發現如此遭遇的不是一個人:論壇裡一夜之間出現大量用戶的發帖,談論的都是被盜刷的經歷。
“羅生門”
記者在威鋒網論壇發現,最近一個月內有超過3245個帖子包含“盜刷”關鍵詞,另一關鍵詞“刷榜”則有3246個結果。而搜索論壇推薦熱門詞 “iTunes”,近一個月內結果也僅為4238個帖子。這說明,至少在威鋒網上,“盜刷”、“刷榜”在七月已經達到熱門搜索的層級。
搜索結果日期集中在7月20日前後
6月30日,蘋果正式發佈iOS 8.4正式版。新版上線僅一小時後,PP助手便發佈“iOS8.4完美越獄”工具,而另一個越獄組織太極越獄則指責PP助手團隊早已從內核層面完成瞭對太極越獄工具的反編譯,抄襲其iOS8.1.3-8.3越獄工具;7月初,第一次大規模盜刷事件爆發,許多用戶反映後臺被下載《隨時融》、《簡理財》等 App。7月17——7月20日,第二次大規模盜刷事件爆發,涉及App為《熱血街霸3d》、《安徒生童話》、《心探》等。
用戶遇到的情況也是五花八門:有的用戶稱隻越獄沒安裝助手被盜刷,而且不論是使用太極越獄還是於PP助手合作的盤古越獄,都有可能遇到;有的用戶因為在手機助手裡綁定蘋果賬號被盜刷,而用戶所稱的“手機助手”涉及的范圍很大,“我用itools被盜刷瞭,後來我為瞭實驗,還原再越獄用PP助手又被盜刷瞭。”某位網友回憶說,他在第一次和第二次盜刷間使用瞭兩種手機助手,結果都沒能幸免。有的用戶沒綁定蘋果賬號,隻用助手下載軟件也被刷,甚至有用戶發帖稱:“我的手機沒越獄也被盜刷瞭。”記者采訪到這位名叫“凌玄軒”的網友,他告訴我,自己從沒越獄過,不存在越獄漏洞後門一說,但是也被盜刷瞭。
盜刷涉及的利益相關方面之多極大增加瞭事件的復雜程度。後臺盜刷隻是一個結果,由結果反推原因,用戶操作的每一環都成為被懷疑的對象:從越獄開始,安裝第三方的Cydia插件,安裝手機助手,安裝各種“幫助軟件”,任何一步都可能成為盜刷的真兇。
疑雲
《熱血街霸3D》被懷疑是“盜刷”的獲益者,在App Annie中搜索《熱血街霸3D》的相關數據時,發現在7月19日,遊戲在免費榜的排名由前一日的接近1000名飆升至48名,在隨後三天內也都保持在前100名,這也暗合論壇反映的第二次盜刷事件的爆發時間。記者聯系到遊戲負責人試圖進行采訪,在向他提出相關的問題後,他的回答語焉不詳——在反復明確我的問題後,便再也沒有回應。
而在今天凌晨兩點,這款遊戲在一次App Store榜單變動中排名消失,被蘋果除名。
數據顯示《熱血街霸3D》在7月19日排名大幅提高,但在今日凌晨從榜單除名
從論壇以及采訪獲得的信息來看,用戶普遍對手機助手的意見最大。而PP助手的相關人員則表示:“從蘋果商店下載App要密碼,要Touch ID,這些跳得過嗎?” 他否認瞭用戶對PP助手的指控,並向記者解釋,PP助手主要靠遊戲聯運盈利,不會竊取用戶的Apple ID作為商業用途。他告訴記者,蘋果對系統的限制很大,即便是越獄後,權限的突破也是非常有限的。
這不是盜刷事件的第一次爆發。2013年7月,大量越獄蘋果用戶反映蘋果商店後臺自動下載App,當時的情討論也是眾說紛紜,莫衷一是。PP助手當時就曾發表過官方聲明,在文章的結尾處,他們堅決地否認瞭外界的猜疑:“PP助手官方承諾絕不會利用包括用戶帳戶在內的任何用戶隱私進行刷榜等非法行為,如有違反此承諾,願意接受一切經濟賠償和法律制裁,歡迎各方監督!”
兩年前,針對第一次盜刷事件,PP助手發佈的官方聲明
而專門負責App推廣的孫先生則認為被盜刷很可能是因為用戶越獄中瞭第三方插件的木馬,“iOS刷榜的操作成本很高,真如你說的情況一樣,那公司的推廣經費應該是天文數字。”孫先生向觸樂記者介紹,在他認識的刷榜公司裡,還沒有哪傢能提供後臺盜刷服務。“也可能是我的權限不夠,就像古董店的尖貨都是留給大客戶看的,你可以跟刷榜公司聊聊。”
順著孫先生提供的思路,記者佯裝公司App需要推廣,在與多傢刷榜公司交流後,獲得與其中一傢直接溝通的機會。在與對方的交流中,記者首先詢問一些常規沖榜的價格,當對話進展一段時間後,有意地提到能否提供“後臺盜刷”的服務。“您說的這個我們真做不到,這也太惡心瞭。”對方直截瞭當地告訴記者,如果是刷榜的話,據他所知,行業內其他公司也不提供此類服務,這也應驗先前孫先生說的話。
轉機
正當事件越來越撲朔迷離的時候,今日(8月25日)凌晨的一條微博讓整個事件出現轉機。
威鋒技術組在凌晨0點52分時發佈長微博稱發現某搶紅包類助手通過後臺註入存在收集用戶iCloud用戶賬號、密碼行為,此行為被認為與前段時間 “被刷榜”事件有緊密的聯系。而通過漏洞檢測發現,共有22萬個左右有效的iCloud賬號與密碼被盜取,威鋒技術組正在全面展開證據收集工作。微博還附有一張長圖,詳細驗證用戶資料被泄露的真實性。
目前有225563個蘋果賬戶被泄露,數量依然在增加
威鋒技術組並未指明“搶紅包類助手”系哪傢,但由於涉及面非常大,隨後,威鋒將此漏洞提交到瞭烏雲漏洞報告平臺及CNCERT國傢互聯網應急中心處理。
記者聯系到最早發現此漏洞的技術工程師i_82,他接受瞭我們的采訪。i_82是從7月開始關註這件事情的,但直到8月24日晚,他從互聯網上抽查瞭一款“當下最熱門的搶紅包軟件”,然後才發現瞭這個漏洞。
包括微信在內的各類即時通訊軟件提供的紅包功能誘發瞭用戶的欲望,而各種“搶紅包”插件則讓這些欲望得以實現。在金錢——哪怕是幾分錢人民幣——面前,很多用戶的理智降至底線,他們不加驗證地在自己的手機上安裝各種搶紅包插件——而這些插件中多數含有木馬。
“通訊軟件應該是有責任的,客戶端的反動態調試和反靜態分析都沒有達到作為一款支付軟件應有的標準。” i_82對觸樂記者表示,插件的工作原理是針對微信創建“鉤子”,獲取當前的用戶登錄信息,當收到紅包事件的時候做出反應。然後偽裝成微信客戶端,以用戶的登錄信息,向服務器發送領取紅包的請求,達到領取紅包的目的。
i_82指出,部分通訊軟件在處理紅包邏輯上可能存在問題,用戶在領取紅包之前能從服務器獲取到紅包領取情況。但他同時向記者表示,大部分通訊軟件本身的登錄狀態應該受到瞭嚴格的控制,用戶的通訊軟件帳號密碼應該是安全的。
眾所周知的是,越獄後的iPhone無法為用戶提供哪怕是最初級的安全保障。僅在i_82檢查的這個插件中,就已經發現超過22萬個iCloud 帳號被泄露,除瞭這些帳號信息之外,泄露的資料甚至包括各類遊戲的帳號鑒定,即使用搶紅包軟件的用戶的遊戲帳號及密碼也同時存在泄露的危險。
“這隻是龐大刷榜黑色產業的冰山一角”。i_82對記者表示。“iCloud 密碼更容易被劫持,且風險更小,更隱蔽。”