被偷走的22万账号：苹果商店后台盗刷事件调查

内容速读：

7月19日早上7点，像往常一样，苹果手机用户“蔷薇予酒”起床后打开手机，习惯性地滑动几下，点开苹果商店看看有没有新游戏上架，他发现已购项目里有一个叫做《热血街霸3D》的游戏。“《热血街霸3D》是7月17日下载，《安徒生童话》是7月21日。”他开始寻找盗刷的元凶。寻求答案未果，“蔷薇予酒”登陆自己经常浏览的威锋网论坛，意外发现如此遭遇的不是一个人：论坛里一夜之间出现大量用户的发帖，谈论的都是被盗刷的经历。

■ 盗刷

7月19日早上7点，像往常一样，苹果手机用户“蔷薇予酒”起床后打开手机，习惯性地滑动几下，点开苹果商店看看有没有新游戏上架，他发现已购项目里有一个叫做《热血街霸3D》的游戏。

“我以人格担保从没下过这款游戏。” 他对触乐记者说。

“蔷薇予酒”的已购项目中还有两个从未下载过的的App：《心探》和《安徒生童话》。“《热血街霸3D》是7月17日下载，《安徒生童话》是7月21日。”截图清晰地记载了两款App下载的时间。“蔷薇予酒”告诉触乐记者，他的手机一直是用PP助手越狱，虽然之前听说过手机越狱后会被后台偷偷下载App的新闻，但自己从未遇到这种情况，也没当回事。

他开始寻找盗刷的元凶。起初，他怀疑PP助手从中作祟，因为曾经在PC端登陆过PP助手，而且也绑定过苹果账户，“可那是半年前的事情，要盗刷早就做了，何必等到现在。”后来他又怀疑是苹果漏洞（两年前盗刷风波曾经有过一次爆发，当时Struts2漏洞曾被认为是账号泄露的原因之一）而导致的用户信息泄露，但“两年过去了，苹果公司肯定已经修复了漏洞。”

寻求答案未果，“蔷薇予酒”登陆自己经常浏览的威锋网论坛，意外发现如此遭遇的不是一个人：论坛里一夜之间出现大量用户的发帖，谈论的都是被盗刷的经历。

■ “罗生门”

触乐记者在威锋网论坛发现，最近一个月内有超过3245个帖子包含“盗刷”关键词，另一关键词“刷榜”则有3246个结果。而搜索论坛推荐热门词“iTunes”，近一个月内结果也仅为4238个帖子。这说明，至少在威锋网上，“盗刷”、“刷榜”在七月已经达到热门搜索的层级。

6月30日，苹果正式发布iOS 8.4正式版。新版上线仅一小时后，PP助手便发布“iOS8.4完美越狱”工具，而另一个越狱组织太极越狱则指责PP助手团队早已从内核层面完成了对太极越狱工具的反编译，抄袭其iOS8.1.3-8.3越狱工具；7月初，第一次大规模盗刷事件爆发，许多用户反映后台被下载《随时融》、《简理财》等App。7月17——7月20日，第二次大规模盗刷事件爆发，涉及App为《热血街霸3d》、《安徒生童话》、《心探》等。

用户遇到的情况也是五花八门：有的用户称只越狱没安装助手被盗刷，而且不论是使用太极越狱还是于PP助手合作的盘古越狱，都有可能遇到；有的用户因为在手机助手里绑定苹果账号被盗刷，而用户所称的“手机助手”涉及的范围很大，“我用itools被盗刷了，后来我为了实验，还原再越狱用PP助手又被盗刷了。”某位网友回忆说，他在第一次和第二次盗刷间使用了两种手机助手，结果都没能幸免。有的用户没绑定苹果账号，只用助手下载软件也被刷，甚至有用户发帖称：“我的手机没越狱也被盗刷了。”记者采访到这位名叫“凌玄轩”的网友，他告诉我，自己从没越狱过，不存在越狱漏洞后门一说，但是也被盗刷了。

盗刷涉及的利益相关方面之多极大增加了事件的复杂程度。后台盗刷只是一个结果，由结果反推原因，用户操作的每一环都成为被怀疑的对象：从越狱开始，安装第三方的Cydia插件，安装手机助手，安装各种“帮助软件”，任何一步都可能成为盗刷的真凶。

■ 疑云

《热血街霸3D》被怀疑是“盗刷”的获益者，在App Annie中搜索《热血街霸3D》的相关数据时，触乐发现在7月19日，游戏在免费榜的排名由前一日的接近1000名飙升至48名，在随后三天内也都保持在前100名，这也暗合论坛反映的第二次盗刷事件的爆发时间。记者联系到游戏负责人试图进行采访，在向他提出相关的问题后，他的回答语焉不详——在反复明确我的问题后，便再也没有回应。

而在今天凌晨两点，这款游戏在一次App Store榜单变动中排名消失，被苹果除名。

从论坛以及采访获得的信息来看，用户普遍对手机助手的意见最大。而PP助手的相关人员则表示：“从苹果商店下载App要密码，要Touch ID，这些跳得过吗？” 他否认了用户对PP助手的指控，并向记者解释，PP助手主要靠游戏联运盈利，不会窃取用户的Apple ID作为商业用途。他告诉记者，苹果对系统的限制很大，即便是越狱后，权限的突破也是非常有限的。

这不是盗刷事件的第一次爆发。2013年7月，大量越狱苹果用户反映苹果商店后台自动下载App，当时的情讨论也是众说纷纭，莫衷一是。PP助手当时就曾发表过官方声明，在文章的结尾处，他们坚决地否认了外界的猜疑：“PP助手官方承诺绝不会利用包括用户帐户在内的任何用户隐私进行刷榜等非法行为，如有违反此承诺，愿意接受一切经济赔偿和法律制裁，欢迎各方监督！”

而专门负责App推广的孙先生则认为被盗刷很可能是因为用户越狱中了第三方插件的木马，“iOS刷榜的操作成本很高，真如你说的情况一样，那公司的推广经费应该是天文数字。”孙先生向触乐记者介绍，在他认识的刷榜公司里，还没有哪家能提供后台盗刷服务。“也可能是我的权限不够，就像古董店的尖货都是留给大客户看的，你可以跟刷榜公司聊聊。”

顺着孙先生提供的思路，记者佯装公司App需要推广，在与多家刷榜公司交流后，获得与其中一家直接沟通的机会。在与对方的交流中，记者首先询问一些常规冲榜的价格，当对话进展一段时间后，有意地提到能否提供“后台盗刷”的服务。“您说的这个我们真做不到，这也太恶心了。”对方直截了当地告诉记者，如果是刷榜的话，据他所知，行业内其他公司也不提供此类服务，这也应验先前孙先生说的话。

■ 转机

正当事件越来越扑朔迷离的时候，今日（8月25日）凌晨的一条微博让整个事件出现转机。（微博链接）

威锋技术组在凌晨0点52分时发布长微博称发现某抢红包类助手通过后台注入存在收集用户iCloud用户账号、密码行为，此行为被认为与前段时间“被刷榜”事件有紧密的联系。而通过漏洞检测发现，共有22万个左右有效的iCloud账号与密码被盗取，威锋技术组正在全面展开证据收集工作。微博还附有一张长图，详细验证用户资料被泄露的真实性。

威锋技术组并未指明“抢红包类助手”系哪家，但由于涉及面非常大，随后，威锋将此漏洞提交到了乌云漏洞报告平台及CNCERT国家互联网应急中心处理。

触乐记者联系到最早发现此漏洞的技术工程师i_82，他接受了我们的采访。i_82是从7月开始关注这件事情的，但直到8月24日晚，他从互联网上抽查了一款“当下最热门的抢红包软件”，然后才发现了这个漏洞。

包括微信在内的各类即时通讯软件提供的红包功能诱发了用户的欲望，而各种“抢红包”插件则让这些欲望得以实现。在金钱——哪怕是几分钱人民币——面前，很多用户的理智降至底线，他们不加验证地在自己的手机上安装各种抢红包插件——而这些插件中多数含有木马。

“通讯软件应该是有责任的，客户端的反动态调试和反静态分析都没有达到作为一款支付软件应有的标准。” i_82对触乐记者表示，插件的工作原理是针对微信创建“钩子”，获取当前的用户登录信息，当收到红包事件的时候做出反应。然后伪装成微信客户端，以用户的登录信息，向服务器发送领取红包的请求，达到领取红包的目的。

i_82指出，部分通讯软件在处理红包逻辑上可能存在问题，用户在领取红包之前能从服务器获取到红包领取情况。但他同时向触乐记者表示，大部分通讯软件本身的登录状态应该受到了严格的控制，用户的通讯软件帐号密码应该是安全的。

众所周知的是，越狱后的iPhone无法为用户提供哪怕是最初级的安全保障。仅在i_82检查的这个插件中，就已经发现超过22万个iCloud 帐号被泄露，除了这些帐号信息之外，泄露的资料甚至包括各类游戏的帐号鉴定，即使用抢红包软件的用户的游戏帐号及密码也同时存在泄露的危险。

“这只是庞大刷榜黑色产业的冰山一角”。i_82对触乐记者表示。“iCloud 密码更容易被劫持，且风险更小，更隐蔽。”

■ 深忧

苹果因为高度自动化、一体化与封闭化的生态与设计而受到用户的广泛欢迎与赞誉，而一旦用户越狱，安全上的防护就几乎为零，但大多数用户忽视了这种脆弱。

第三方Cydia插件一直被iOS越狱用户视为福音。通常来说，在越狱之后，用户需要手动通过破解软件Cydia添加来自不同“源”的第三方插件方便自己使用手机。第三方插件的功能非常强大，比如上文提到的抢红包助手，帮助用户在所有抢红包竞争中占得先机，datameter可以给苹果用户提供流量统计这种越狱前不具有的实用功能，IAPCrazy则可以直接破解游戏里的内购系统，帮用户轻松破解内购系统。目前国内国外有诸多的“源”地址，比如威锋源是国内最大的源，有很多第三方作者源依附在威锋源上，而其他的越狱“源”地址比如25pp助手源、3k源，游戏助手源比如178源，叉叉助手源都是比较有影响力的“源”地址。

“盗刷”的真凶就是第三方插件吗？在事情水落石出之前，谁都不敢妄下结论。触乐联系到国内一家负责软件评测团队的负责人，他恰好最近在关注盗刷事件，也看到了威锋网技术组最新发布的微博。据他介绍，所有的插件都可以安装后门软件盗取用户信息，在技术层面没有任何问题，“我现在担心的不只是某红包类助手，而是其背后的‘源’把后门软件植入到每一个开发的插件里。”

■ 保护与反击

疑云何时散去还不得而知，受害的用户们已经开始有意识的保护账户安全，通过行动去维护自己的权益。

在被刷之后，“蔷薇予酒”第一时间修改了账户密码，并且开启二步验证，“这种事不会断的，等过了这段时间，肯定还会继续活动。”虽然最近风平浪静，他对“盗刷”依然心有余悸。威锋网友“rong4520”也遇到了盗刷的情况，“提高安全防范意识。是每一个人必修的课程，不要等事情到了无法挽回的地步才后悔莫及。”他给记者举了个例子，用户安装和使用任何软件时，通常的做法就是速度点击“我同意”，根本不会仔细浏览详细条款。其实被盗，往往都是用户疏忽造成的。痛定思痛，他整理了六条保护账号安全的措施，比如“越狱用户请不要下载来历不明的插件，修改‘root shh’等密码，至少我们要做物所能及的安全工作”以及“卸载XX助手，给予他们严厉的打击。某些助手就装逼了，我有XX粉丝数百万。但是水能载舟，亦能覆舟”等。

给苹果商店写邮件投诉是受害用户最先想到的维权方式。“成佳熙8023”把盗刷的App直接举报给苹果商店，可得到回复并不令人满意。“苹果官方让我隐藏被盗刷的应用，可这有什么用呢？”他告诉我们，被隐藏还是计算App的下载量，苹果商店如果不能撤销购买，举报和投诉就没有任何作用。记者在论坛里看到，已经有不少网友写邮件投诉盗刷应用，希望官方可以主持公道，可是从苹果官方的回复来看，这个方法收效甚微。

而有的受害用户已经想出了另类的“反击”方式：给刷榜App打一星评价。在“倡议：被盗刷后的另类应对方法！”的帖子中，我们看到，威锋网友“cnsccdjp”倡议大家给盗刷的App打一星评价，并得到了其他网友的热烈相应，“我倡议所有被盗刷过的用户给相应的软件差评，这样拉低相应软件的评价，看这些应用商还敢不敢找此类的黑推广。”

在采访的末尾，“蔷薇予酒”表达了自己的感受：“有的人被盗刷，说明他们的账户已经泄露；有的人庆幸逃过一劫，但不代表他们是安全的。我不知道隐藏的产业链条，幕后的利益驱使是什么，但是说实话，我挺愤怒的。”

各种试图操作榜单的行为从未停止过，也一定会有一个组织在厂商与这些非法的抢红包助手开发小组之间作为对接行业的中介，在可预见的将来，这种行为还会不断升级，未来也许会出现什么新的漏洞，而这个行业里对苹果榜单虎视眈眈的人们仍然会一拥而上。

战争从未停止，战争可能会升级。