AppleID泄露疑雲調查:內部人員作案的可能性很大
2018年10月12日16:05

  來源:今晚財訊

  作者:米娜

  一場大範圍的Apple手機用戶Apple ID被盜風波正席捲全國。

  在幾個Apple ID被盜的QQ維權群裡,來自全國各地的受害者近一千人。

  但這隻是冰山一角。

  “還有很多人Apple ID被盜了根本不知道,有些受害者沒有參與維權,實際受害人數應該遠遠超過這個數字。”從事多年網絡安全工作的黃楊(化名)稱。

  在他看來,這是一條百分之百針對中國Apple手機用戶的黑色產業鏈,團隊作案,規模不小。

  隨後,《今晚財訊》記者被拉到一個Apple ID被盜維權群裡,有400多名受害者在群裡商量該如何去跟Apple維權。他們被盜時間從今年2月到10月,其中9-10月被盜用戶數占大多數。被盜刷金額從幾百至數萬元不等,大多集中在2000-3000元。

  黃楊告訴《今晚財訊》,今年七八月份以來,他身邊就發生了好幾例Apple ID被盜事件。跟業內諸多從事手機安全的同行交流之後,他發現有用戶在Apple ID被盜後,手機里的微信歷史聊天記錄也很快被破解並外泄出來了,“連微信的賬號密碼都能被準確地掌握到,那顯然不是微信單方面能解決的問題”。

  黃楊稱,他們一直在追蹤,並最終發現這是一條黑產。“如果能獲得幾千萬到上億元的資金,對任何一個黑產團隊都是非常大的收入了。”

  那麼這些Apple ID都是如何被泄露的呢?

  “這次被盜,不像是駭客攻破了Apple手機的漏洞,反倒是撞庫或內部人作案的可能性更大。”北京白帽彙科技CEO趙武告訴記者。

  所謂撞庫,是指駭客利用網絡上已經泄露的大量的用戶數據,利用用戶相同的習慣(相同的用戶名和密碼),去嚐試登陸其它的網站,從而導致其他網站上的信息也被破解。

  Apple手機為什麼會在中國發生如此大規模的ID被盜事件?

  “今年2月底,Apple將中國用戶的iCloud數據庫從美國搬到了雲上貴州。”黃楊沉默了一下,回答說。

  被竊取的微信聊天記錄

  10月11日下午,深圳騰訊大廈。

  身為騰訊微信支付部門的風控負責人,李成(化名)正焦急地跟同事討論關於微信在iCloud上的備份問題。

  iCloud是Apple推出的個人云存儲業務,主要用於存儲iPhone、iPad等設備上的照片、視頻、文檔和App數據,以便在各個設備間實現同步更新。

  這次Apple ID被盜事件中最奇怪的是,不僅僅是用戶的Apple ID賬號密碼被泄露,泄露的還有一些用戶的微信聊天記錄。

  但李成告訴《今晚財訊》:“微信聊天記錄平時在手機里是加密備份的,你換個手機就看不到這些聊天記錄了。”

  那麼,駭客是如何拿到一個人Apple手機里的微信聊天記錄的呢?

  李成分析後得出這樣的結論:因為iCloud備份了微信整個App的數據。駭客拿到Apple ID賬號密碼後,換個手機用iCloud恢復微信App,如果他同時知道了你的微信賬號和密碼,那他用密碼登錄微信後,就能看到解密後的歷史聊天記錄。

  根據微信與Apple手機的相關協議,微信將應用軟件內的聊天記錄等數據備份在Apple手機上,當iCloud同步微信數據時,這些聊天記錄也會同步上傳至iCloud中。

  而這裡面最讓人擔心的是,iCloud不僅備份了微信的數據,幾乎大部分手機軟件里的App數據都被它備份了。

  在QQ維權群裡,有用戶發現支付寶賬單里出現了不明的大額消費。

  10月10日,支付寶通過官方微博發佈消息稱:近期,支付寶檢測到部分iPhone用戶的ID出現被盜,由此帶來相關ID綁定的支付工具遭到資金損失。

  “iCloud全盤備份手機里的軟件這個功能很危險,一旦ID被泄露,用戶在各個手機軟件里的隱私都很危險。”李成表示。

  但令李成擔憂的是,目前微信單方面在技術上很難做到限製微信的聊天記錄這一項上傳到Apple手機的iCloud,因為是iCloud的備份行為是在手機後台進行的,作為前台的App一般都感知不到。只要用戶選擇同意備份,所有前台軟件的數據都會被上傳至iCloud。

  2017年6月1日,《中華人民共和國網絡安全法》正式實施,該法律對在中國境內經營的國外公司做出了新規定,為了最大程度上維護消費者權益,必須將敏感數據存儲在國內的服務器中。

  於是,今年1月10日,Apple公司發佈公告稱,從2月28日起,中國內地的iCloud服務將轉由雲上貴州大數據產業發展有限公司(簡稱“雲上貴州”)負責運營。Apple手機用戶Apple ID的國家或地區設置為中國的都在這次轉變的影響範圍內。

  根據協議,Apple公司授權雲上貴州公司作為Apple公司在中國大陸運營iCloud服務的唯一合作夥伴。雲上貴州公司作為運營主體,在中國大陸境內運營iCloud服務。

  Apple將在中國建造兩個iCloud數據中心,分別在內蒙古烏蘭察布市和貴州貴安。其中貴安數據中心,今年5月已正式開建,將花費10億美元。

  Apple手機用戶最直觀的體驗,是在iCloud這朵雲的logo底下會標明“由雲上貴州公司運營”,這曾被視為Apple進入中國具有戰略意義的一步。

  根據澎湃新聞報導,對於雲上貴州是否能夠查看用戶iCloud中數據這一問題,Apple官網上的iCloud服務模塊已經發佈了相關的解釋,在“訪問您的賬戶和內容”一欄中明確寫道:“您理解並同意,Apple公司和雲上貴州有權訪問您在此服務中存儲的所有數據,包括根據適用法律向對方和在彼此之間共享、交換和披露所有用戶數據(包括內容)的權利。”

  有網友反饋,在iCloud轉到貴州之後,出現了iMessage垃圾信息暴增的現象。不少網友稱,“原來還好,自從iCloud轉到貴州後,老是收到iMessage垃圾信息”。

  但云上貴州相關負責人曾對媒體回應稱:“iMessage並不屬於雲上貴州公司運營中國大陸iCloud業務範疇。”

  一名知乎用戶在《中國內地的iCloud服務轉由雲上貴州運營意味著什麼?》的問題下回覆稱:“昨天同意了icloud的服務遷移,今天1點開始就接到貴州的營銷詐騙電話,目前已經2個了。我的號碼所在地是上海,已經使用8年,從來只接過江浙滬推銷詐騙,第一次接到貴州的。“

  百萬美金的Apple漏洞

  10月11日,AppleCEO庫克現身北京一家互聯網公司。他為何而來,人們不得而知。

  但此時,無數的維權電話已經打向全國的Apple客服熱線,他們的申訴絕大部分都得不到回覆,退款審核不予通過。

  Apple將會如何解決這次Apple ID被盜的問題呢?

  在黃楊看來,如果是駭客攻克了Apple手機的漏洞造成的,那毫無疑問,這是Apple公司的責任,損失將由Apple來承擔。但他認為這種情況的概率很低。

  “你知道Apple手機的一個漏洞在市場上價值多少麼?至少值100萬美元以上。”

  早在2016年,美國的“網絡軍火商”zerodium就曾公開向外界懸賞100萬美金來破解Apple手機,而且上不封頂。也就是你只要能挖到一個Apple手機漏洞,立馬就能獲得至少百萬美元的獎金,甚至更高。

  即使不賣漏洞,如果掌握了Apple手機的漏洞,駭客也能生成一個應用分發市場。通過這個漏洞,可以不用通過Apple應用商店的審核條款,直接將一些應用App安裝在用戶的Apple手機上,這也是一個很大的生意。

  早年的駭客,可能是為了惡作劇。但現在,漏洞早已經成為各個國家的核心戰略資源。“就跟武器一樣,在公開市場上都能賣上高價,根本不用去做駭客靠犯罪賺錢,更不會輕易用在民間。”白帽彙科技CEO趙武表示。

  而如今,國內頂級的白帽(用駭客技術來維護網絡關係公平正義的人員)年薪都是百萬元以上,一些安全人員甚至達千萬年薪。因為他們挖到一個漏洞價值數萬美金,有的團隊一年可以挖到數百個漏洞。

  2017年在溫哥華舉辦的全球頂級駭客大賽Pwn2Own,已經連續舉辦10年了,大賽的獎金就高達百萬美金。現場高手如雲,來自中國、美國、德國的11支戰隊,完成針對主流瀏覽器、操作系統、虛擬機、文檔軟件等攻破項目。

  “漏洞是一次性的,你用來做駭客,公司很快修好了就沒了。從投入產出比講,撞庫的成本最低,不用太多技術,而且屢試不爽。”趙武表示。

  近些年,用戶數據經常發生大規模泄露的事件。

  2015年,網易的用戶數據庫遭泄露,影響數量總共近5億條,泄露信息包括用戶名、密碼(MD5)、密碼提示問題/答案(MD5)、註冊IP、生日等。

  2016年12月,京東一個12G的數據包開始在黑市流通,其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度,數據多達數千萬條。

  今年8月,華住酒店集團的官網註冊資料、酒店入住登記的身份信息及酒店開房記錄,住客姓名、手機號、郵箱、身份證號、登錄賬號密碼約5億條用戶數據被泄露。

  因為很少有用戶在每個平台設置不同的密碼,所以駭客會利用網絡上已經泄露的大量的用戶數據,去嚐試登陸其他網站。

  同時,販賣已泄露數據、販賣隱私的生意一直屢禁不絕。

  2017年,公安部指揮破獲一起特大盜販公民信息案,共抓獲犯罪嫌疑人96名,初步查獲涉及物流、醫療、社交、銀行等各類被盜公民個人信息達50億條。

  在黃楊看來,如今很多犯罪的駭客根本沒用太多的技術,大部分是利用已經泄露的數據“撞庫”成功。但這次AppleApple ID被盜,撞庫或者內鬼的可能性更大。

  據瞭解,在信息安全行業,目前的數據泄露事件,有30%來自於駭客,有70%來自於內鬼。

  由於駭客無名,所以絕大部分的駭客攻擊事件,都是為了利益。

  在此次AppleApple ID被盜事件中,除了賬號被泄,Apple手機的強製免密支付才是導致大量用戶遭受財產損失的主因。

  在QQ維權群裡,Apple的強製免密支付將成為此次被盜的Apple手機用戶維權的重點。

  《今晚財訊》記者在Apple手機賬戶中發現,其內設的付款方式有支付寶、微信、銀行卡、快捷支付等,而Apple賬戶在綁定支付寶或微信等支付方式時,必須選擇免密支付。

  而互聯網上資金最好變現的渠道就是那些遊戲充值或是道具,所以這次很多人的賬戶被盜後被用去買遊戲裝備,或者開通收費訂閱。“收費訂閱量越高,駭客拿的錢就越多。”趙武表示。

  互踢皮球,誰之責?

  儘管Apple公司10月11日回應稱正在積極解決ID被盜問題,但上海、北京等地的Apple中國公司對被盜刷用戶提出的退款申訴卻表示無法操作。

  一些Apple手機用戶的支付寶也被盜刷。《今晚財訊》在詢問支付寶所屬的螞蟻金服會如何處理時,螞蟻金服市場公關部工作人員表示,這次主要是由於Apple ID被泄露導致的,如果賬號泄露了,任何支付方式都有風險。

  事實上,在此之前,安全領域曾多次發生過同類型案例。“就算最終駭客被抓,但往往沒有任何一個人或公司會宣稱對大量的受害者負責。”趙武表示。

  根據我國《刑法》第287條(利用計算機盜竊公私財物)和第264條盜竊罪,盜竊公私財物,數額巨大或者有其他嚴重情節的處三年以上十年以下有期徒刑。

  駭客一旦被抓,等待的是法律的製裁。但相關公司該如何負責呢?

  2018年1月3日,英特爾芯片被發現共有兩個漏洞,分別稱為“崩潰”和“幽靈”。駭客可利用這兩個漏洞讀取設備內存,獲得密碼、密鑰等敏感信息。而英特爾、ARM、AMD等CPU產品紛紛遭受影響。其中,英特爾CPU受影響最為嚴重,影響範圍從酷睿一代到八代全部沒能倖免。

  事件發生後,英特爾、微軟、Google、Apple、亞馬遜、ARM等巨頭一起聯手,設法解決漏洞問題。

  黃楊認為,安全領域的事情,往往必須多方聯手才能共同解決。

  而此次Apple手機Apple ID被盜事件中,至少在強製免密支付環節上,Apple公司就存在設計上的安全問題。

  “Apple強製免密支付是為了方便,它選擇了便利性而不是安全性。加入密碼、二次身份認證或生物識別,都可以幫助用戶極大地避免盜刷。”趙武表示,在受害者維權後,Apple公司可能會修改預設的強製免密支付。

  對於普通的Apple手機用戶而言,為了防止手機信息被盜,趙武認為主要有以下幾種方法:

  首先,就是儘量將支付的賬號跟密碼在各個平台都設置得不一樣;其次,是把二次驗證要打開,儘量關閉免密支付;第三,儘量不要去用免費的wifi,或者連一些公共wifi,不要使用公共充電線,不要去掃來路不明的二維碼等。

  (趙雪嬌對本文亦有貢獻)

關注我們Facebook專頁
    相關新聞
      更多瀏覽