蘋果ID泄露疑云調(diào)查
一場大范圍的蘋果手機用戶Apple ID被盜風(fēng)波正席卷全國。
在幾個Apple ID被盜的QQ維權(quán)群里,來自全國各地的受害者近一千人。
但這只是冰山一角。
“還有很多人Apple ID被盜了根本不知道,有些受害者沒有參與維權(quán),實際受害人數(shù)應(yīng)該遠遠超過這個數(shù)字。”從事多年網(wǎng)絡(luò)安全工作的黃楊(化名)稱。
在他看來,這是一條百分之百針對中國蘋果手機用戶的黑色產(chǎn)業(yè)鏈,團隊作案,規(guī)模不小。
隨后,記者被拉到一個Apple ID被盜維權(quán)群里,有400多名受害者在群里商量該如何去跟蘋果維權(quán)。他們被盜時間從今年2月到10月,其中9-10月被盜用戶數(shù)占大多數(shù)。被盜刷金額從幾百至數(shù)萬元不等,大多集中在2000-3000元。
黃楊告訴《今晚財訊》,今年七八月份以來,他身邊就發(fā)生了好幾例Apple ID被盜事件。跟業(yè)內(nèi)諸多從事手機安全的同行交流之后,他發(fā)現(xiàn)有用戶在Apple ID被盜后,手機里的微信歷史聊天記錄也很快被破解并外泄出來了,“連微信的賬號密碼都能被準(zhǔn)確地掌握到,那顯然不是微信單方面能解決的問題”。
黃楊稱,他們一直在追蹤,并最終發(fā)現(xiàn)這是一條黑產(chǎn)。“如果能獲得幾千萬到上億元的資金,對任何一個黑產(chǎn)團隊都是非常大的收入了。”
那么這些Apple ID都是如何被泄露的呢?
“這次被盜,不像是黑客攻破了蘋果手機的漏洞,反倒是撞庫或內(nèi)部人作案的可能性更大。”北京白帽匯科技CEO趙武告訴記者。
所謂撞庫,是指黑客利用網(wǎng)絡(luò)上已經(jīng)泄露的大量的用戶數(shù)據(jù),利用用戶相同的習(xí)慣(相同的用戶名和密碼),去嘗試登陸其它的網(wǎng)站,從而導(dǎo)致其他網(wǎng)站上的信息也被破解。
蘋果手機為什么會在中國發(fā)生如此大規(guī)模的ID被盜事件?
“今年2月底,蘋果將中國用戶的iCloud數(shù)據(jù)庫從美國搬到了云上貴州。”黃楊沉默了一下,回答說。
被竊取的微信聊天記錄
10月11日下午,深圳騰訊大廈。
身為騰訊微信支付部門的風(fēng)控負責(zé)人,李成(化名)正焦急地跟同事討論關(guān)于微信在iCloud上的備份問題。
iCloud是蘋果推出的個人云存儲業(yè)務(wù),主要用于存儲iPhone、iPad等設(shè)備上的照片、視頻、文檔和App數(shù)據(jù),以便在各個設(shè)備間實現(xiàn)同步更新。
這次Apple ID被盜事件中最奇怪的是,不僅僅是用戶的Apple ID賬號密碼被泄露,泄露的還有一些用戶的微信聊天記錄。
但李成告訴《今晚財訊》:“微信聊天記錄平時在手機里是加密備份的,你換個手機就看不到這些聊天記錄了。”
那么,黑客是如何拿到一個人蘋果手機里的微信聊天記錄的呢?
李成分析后得出這樣的結(jié)論:因為iCloud備份了微信整個App的數(shù)據(jù)。黑客拿到Apple ID賬號密碼后,換個手機用iCloud恢復(fù)微信App,如果他同時知道了你的微信賬號和密碼,那他用密碼登錄微信后,就能看到解密后的歷史聊天記錄。
根據(jù)微信與蘋果手機的相關(guān)協(xié)議,微信將應(yīng)用軟件內(nèi)的聊天記錄等數(shù)據(jù)備份在蘋果手機上,當(dāng)iCloud同步微信數(shù)據(jù)時,這些聊天記錄也會同步上傳至iCloud中。
而這里面最讓人擔(dān)心的是,iCloud不僅備份了微信的數(shù)據(jù),幾乎大部分手機軟件里的App數(shù)據(jù)都被它備份了。
在QQ維權(quán)群里,有用戶發(fā)現(xiàn)支付寶賬單里出現(xiàn)了不明的大額消費。
10月10日,支付寶通過官方微博發(fā)布消息稱:近期,支付寶檢測到部分iPhone用戶的ID出現(xiàn)被盜,由此帶來相關(guān)ID綁定的支付工具遭到資金損失。
“iCloud全盤備份手機里的軟件這個功能很危險,一旦ID被泄露,用戶在各個手機軟件里的隱私都很危險。”李成表示。
但令李成擔(dān)憂的是,目前微信單方面在技術(shù)上很難做到限制微信的聊天記錄這一項上傳到蘋果手機的iCloud,因為是iCloud的備份行為是在手機后臺進行的,作為前臺的App一般都感知不到。只要用戶選擇同意備份,所有前臺軟件的數(shù)據(jù)都會被上傳至iCloud。
2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式實施,該法律對在中國境內(nèi)經(jīng)營的國外公司做出了新規(guī)定,為了最大程度上維護消費者權(quán)益,必須將敏感數(shù)據(jù)存儲在國內(nèi)的服務(wù)器中。
于是,今年1月10日,蘋果公司發(fā)布公告稱,從2月28日起,中國內(nèi)地的iCloud服務(wù)將轉(zhuǎn)由云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司(簡稱“云上貴州”)負責(zé)運營。蘋果手機用戶Apple ID的國家或地區(qū)設(shè)置為中國的都在這次轉(zhuǎn)變的影響范圍內(nèi)。
根據(jù)協(xié)議,蘋果公司授權(quán)云上貴州公司作為蘋果公司在中國大陸運營iCloud服務(wù)的唯一合作伙伴。云上貴州公司作為運營主體,在中國大陸境內(nèi)運營iCloud服務(wù)。
蘋果將在中國建造兩個iCloud數(shù)據(jù)中心,分別在內(nèi)蒙古烏蘭察布市和貴州貴安。其中貴安數(shù)據(jù)中心,今年5月已正式開建,將花費10億美元。
蘋果手機用戶最直觀的體驗,是在iCloud這朵云的logo底下會標(biāo)明“由云上貴州公司運營”,這曾被視為蘋果進入中國具有戰(zhàn)略意義的一步。
根據(jù)澎湃新聞報道,對于云上貴州是否能夠查看用戶iCloud中數(shù)據(jù)這一問題,蘋果官網(wǎng)上的iCloud服務(wù)模塊已經(jīng)發(fā)布了相關(guān)的解釋,在“訪問您的賬戶和內(nèi)容”一欄中明確寫道:“您理解并同意,蘋果公司和云上貴州有權(quán)訪問您在此服務(wù)中存儲的所有數(shù)據(jù),包括根據(jù)適用法律向?qū)Ψ胶驮诒舜酥g共享、交換和披露所有用戶數(shù)據(jù)(包括內(nèi)容)的權(quán)利。”
有網(wǎng)友反饋,在iCloud轉(zhuǎn)到貴州之后,出現(xiàn)了iMessage垃圾信息暴增的現(xiàn)象。不少網(wǎng)友稱,“原來還好,自從iCloud轉(zhuǎn)到貴州后,老是收到iMessage垃圾信息”。
但云上貴州相關(guān)負責(zé)人曾對媒體回應(yīng)稱:“iMessage并不屬于云上貴州公司運營中國大陸iCloud業(yè)務(wù)范疇。”
一名知乎用戶在《中國內(nèi)地的iCloud服務(wù)轉(zhuǎn)由云上貴州運營意味著什么?》的問題下回復(fù)稱:“昨天同意了icloud的服務(wù)遷移,今天1點開始就接到貴州的營銷詐騙電話,目前已經(jīng)2個了。我的號碼所在地是上海,已經(jīng)使用8年,從來只接過江浙滬推銷詐騙,第一次接到貴州的。“
百萬美金的蘋果漏洞
10月11日,蘋果CEO庫克現(xiàn)身北京一家互聯(lián)網(wǎng)公司。他為何而來,人們不得而知。
但此時,無數(shù)的維權(quán)電話已經(jīng)打向全國的蘋果客服熱線,他們的申訴絕大部分都得不到回復(fù),退款審核不予通過。
蘋果將會如何解決這次Apple ID被盜的問題呢?
在黃楊看來,如果是黑客攻克了蘋果手機的漏洞造成的,那毫無疑問,這是蘋果公司的責(zé)任,損失將由蘋果來承擔(dān)。但他認(rèn)為這種情況的概率很低。
“你知道蘋果手機的一個漏洞在市場上價值多少么?至少值100萬美元以上。”
早在2016年,美國的“網(wǎng)絡(luò)軍火商”zerodium就曾公開向外界懸賞100萬美金來破解蘋果手機,而且上不封頂。也就是你只要能挖到一個蘋果手機漏洞,立馬就能獲得至少百萬美元的獎金,甚至更高。
即使不賣漏洞,如果掌握了蘋果手機的漏洞,黑客也能生成一個應(yīng)用分發(fā)市場。通過這個漏洞,可以不用通過蘋果應(yīng)用商店的審核條款,直接將一些應(yīng)用App安裝在用戶的蘋果手機上,這也是一個很大的生意。
早年的黑客,可能是為了惡作劇。但現(xiàn)在,漏洞早已經(jīng)成為各個國家的核心戰(zhàn)略資源。“就跟武器一樣,在公開市場上都能賣上高價,根本不用去做黑客靠犯罪賺錢,更不會輕易用在民間。”白帽匯科技CEO趙武表示。
而如今,國內(nèi)頂級的白帽(用黑客技術(shù)來維護網(wǎng)絡(luò)關(guān)系公平正義的人員)年薪都是百萬元以上,一些安全人員甚至達千萬年薪。因為他們挖到一個漏洞價值數(shù)萬美金,有的團隊一年可以挖到數(shù)百個漏洞。
2017年在溫哥華舉辦的全球頂級黑客大賽Pwn2Own,已經(jīng)連續(xù)舉辦10年了,大賽的獎金就高達百萬美金。現(xiàn)場高手如云,來自中國、美國、德國的11支戰(zhàn)隊,完成針對主流瀏覽器、操作系統(tǒng)、虛擬機、文檔軟件等攻破項目。
“漏洞是一次性的,你用來做黑客,公司很快修好了就沒了。從投入產(chǎn)出比講,撞庫的成本最低,不用太多技術(shù),而且屢試不爽。”趙武表示。
近些年,用戶數(shù)據(jù)經(jīng)常發(fā)生大規(guī)模泄露的事件。
2015年,網(wǎng)易的用戶數(shù)據(jù)庫遭泄露,影響數(shù)量總共近5億條,泄露信息包括用戶名、密碼(MD5)、密碼提示問題/答案(MD5)、注冊IP、生日等。
2016年12月,京東一個12G的數(shù)據(jù)包開始在黑市流通,其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度,數(shù)據(jù)多達數(shù)千萬條。
今年8月,華住酒店集團的官網(wǎng)注冊資料、酒店入住登記的身份信息及酒店開房記錄,住客姓名、手機號、郵箱、身份證號、登錄賬號密碼約5億條用戶數(shù)據(jù)被泄露。
因為很少有用戶在每個平臺設(shè)置不同的密碼,所以黑客會利用網(wǎng)絡(luò)上已經(jīng)泄露的大量的用戶數(shù)據(jù),去嘗試登陸其他網(wǎng)站。
同時,販賣已泄露數(shù)據(jù)、販賣隱私的生意一直屢禁不絕。
2017年,公安部指揮破獲一起特大盜販公民信息案,共抓獲犯罪嫌疑人96名,初步查獲涉及物流、醫(yī)療、社交、銀行等各類被盜公民個人信息達50億條。
在黃楊看來,如今很多犯罪的黑客根本沒用太多的技術(shù),大部分是利用已經(jīng)泄露的數(shù)據(jù)“撞庫”成功。但這次蘋果Apple ID被盜,撞庫或者內(nèi)鬼的可能性更大。
據(jù)了解,在信息安全行業(yè),目前的數(shù)據(jù)泄露事件,有30%來自于黑客,有70%來自于內(nèi)鬼。
由于黑客無名,所以絕大部分的黑客攻擊事件,都是為了利益。
在此次蘋果Apple ID被盜事件中,除了賬號被泄,蘋果手機的強制免密支付才是導(dǎo)致大量用戶遭受財產(chǎn)損失的主因。
在QQ維權(quán)群里,蘋果的強制免密支付將成為此次被盜的蘋果手機用戶維權(quán)的重點。
《今晚財訊》記者在蘋果手機賬戶中發(fā)現(xiàn),其內(nèi)設(shè)的付款方式有支付寶、微信、銀行卡、快捷支付等,而蘋果賬戶在綁定支付寶或微信等支付方式時,必須選擇免密支付。
而互聯(lián)網(wǎng)上資金最好變現(xiàn)的渠道就是那些游戲充值或是道具,所以這次很多人的賬戶被盜后被用去買游戲裝備,或者開通收費訂閱。“收費訂閱量越高,黑客拿的錢就越多。”趙武表示。
互踢皮球,誰之責(zé)?
盡管蘋果公司10月11日回應(yīng)稱正在積極解決ID被盜問題,但上海、北京等地的蘋果中國公司對被盜刷用戶提出的退款申訴卻表示無法操作。
一些蘋果手機用戶的支付寶也被盜刷。《今晚財訊》在詢問支付寶所屬的螞蟻金服會如何處理時,螞蟻金服市場公關(guān)部工作人員表示,這次主要是由于Apple ID被泄露導(dǎo)致的,如果賬號泄露了,任何支付方式都有風(fēng)險。
事實上,在此之前,安全領(lǐng)域曾多次發(fā)生過同類型案例。“就算最終黑客被抓,但往往沒有任何一個人或公司會宣稱對大量的受害者負責(zé)。”趙武表示。
根據(jù)我國《刑法》第287條(利用計算機盜竊公私財物)和第264條盜竊罪,盜竊公私財物,數(shù)額巨大或者有其他嚴(yán)重情節(jié)的處三年以上十年以下有期徒刑。
黑客一旦被抓,等待的是法律的制裁。但相關(guān)公司該如何負責(zé)呢?
2018年1月3日,英特爾芯片被發(fā)現(xiàn)共有兩個漏洞,分別稱為“崩潰”和“幽靈”。黑客可利用這兩個漏洞讀取設(shè)備內(nèi)存,獲得密碼、密鑰等敏感信息。而英特爾、ARM、AMD等CPU產(chǎn)品紛紛遭受影響。其中,英特爾CPU受影響最為嚴(yán)重,影響范圍從酷睿一代到八代全部沒能幸免。
事件發(fā)生后,英特爾、微軟、谷歌、蘋果、亞馬遜、ARM等巨頭一起聯(lián)手,設(shè)法解決漏洞問題。
黃楊認(rèn)為,安全領(lǐng)域的事情,往往必須多方聯(lián)手才能共同解決。
而此次蘋果手機Apple ID被盜事件中,至少在強制免密支付環(huán)節(jié)上,蘋果公司就存在設(shè)計上的安全問題。
“蘋果強制免密支付是為了方便,它選擇了便利性而不是安全性。加入密碼、二次身份認(rèn)證或生物識別,都可以幫助用戶極大地避免盜刷。”趙武表示,在受害者維權(quán)后,蘋果公司可能會修改默認(rèn)的強制免密支付。
對于普通的蘋果手機用戶而言,為了防止手機信息被盜,趙武認(rèn)為主要有以下幾種方法:
首先,就是盡量將支付的賬號跟密碼在各個平臺都設(shè)置得不一樣;其次,是把二次驗證要打開,盡量關(guān)閉免密支付;第三,盡量不要去用免費的wifi,或者連一些公共wifi,不要使用公共充電線,不要去掃來路不明的二維碼等。
(趙雪嬌對本文亦有貢獻)
