[[246116]]

一場(chǎng)大范圍的蘋果手機(jī)用戶Apple ID被盜風(fēng)波正席卷全國。

在幾個(gè)Apple ID被盜的QQ維權(quán)群里，來自全國各地的受害者近一千人。

但這只是冰山一角。

“還有很多人Apple ID被盜了根本不知道，有些受害者沒有參與維權(quán)，實(shí)際受害人數(shù)應(yīng)該遠(yuǎn)遠(yuǎn)超過這個(gè)數(shù)字。”從事多年網(wǎng)絡(luò)安全工作的黃楊(化名)稱。

在他看來，這是一條百分之百針對(duì)中國蘋果手機(jī)用戶的黑色產(chǎn)業(yè)鏈，團(tuán)隊(duì)作案，規(guī)模不小。

隨后，記者被拉到一個(gè)Apple ID被盜維權(quán)群里，有400多名受害者在群里商量該如何去跟蘋果維權(quán)。他們被盜時(shí)間從今年2月到10月，其中9-10月被盜用戶數(shù)占大多數(shù)。被盜刷金額從幾百至數(shù)萬元不等，大多集中在2000-3000元。

黃楊告訴《今晚財(cái)訊》，今年七八月份以來，他身邊就發(fā)生了好幾例Apple ID被盜事件。跟業(yè)內(nèi)諸多從事手機(jī)安全的同行交流之后，他發(fā)現(xiàn)有用戶在Apple ID被盜后，手機(jī)里的微信歷史聊天記錄也很快被破解并外泄出來了，“連微信的賬號(hào)密碼都能被準(zhǔn)確地掌握到，那顯然不是微信單方面能解決的問題”。

黃楊稱，他們一直在追蹤，并最終發(fā)現(xiàn)這是一條黑產(chǎn)。“如果能獲得幾千萬到上億元的資金，對(duì)任何一個(gè)黑產(chǎn)團(tuán)隊(duì)都是非常大的收入了。”

那么這些Apple ID都是如何被泄露的呢?

“這次被盜，不像是黑客攻破了蘋果手機(jī)的漏洞，反倒是撞庫或內(nèi)部人作案的可能性更大。”北京白帽匯科技CEO趙武告訴記者。

所謂撞庫，是指黑客利用網(wǎng)絡(luò)上已經(jīng)泄露的大量的用戶數(shù)據(jù)，利用用戶相同的習(xí)慣(相同的用戶名和密碼)，去嘗試登陸其它的網(wǎng)站，從而導(dǎo)致其他網(wǎng)站上的信息也被破解。

蘋果手機(jī)為什么會(huì)在中國發(fā)生如此大規(guī)模的ID被盜事件?

“今年2月底，蘋果將中國用戶的iCloud數(shù)據(jù)庫從美國搬到了云上貴州。”黃楊沉默了一下，回答說。

被竊取的微信聊天記錄

10月11日下午，深圳騰訊大廈。

身為騰訊微信支付部門的風(fēng)控負(fù)責(zé)人，李成(化名)正焦急地跟同事討論關(guān)于微信在iCloud上的備份問題。

iCloud是蘋果推出的個(gè)人云存儲(chǔ)業(yè)務(wù)，主要用于存儲(chǔ)iPhone、iPad等設(shè)備上的照片、視頻、文檔和App數(shù)據(jù)，以便在各個(gè)設(shè)備間實(shí)現(xiàn)同步更新。

這次Apple ID被盜事件中最奇怪的是，不僅僅是用戶的Apple ID賬號(hào)密碼被泄露，泄露的還有一些用戶的微信聊天記錄。

但李成告訴《今晚財(cái)訊》：“微信聊天記錄平時(shí)在手機(jī)里是加密備份的，你換個(gè)手機(jī)就看不到這些聊天記錄了。”

那么，黑客是如何拿到一個(gè)人蘋果手機(jī)里的微信聊天記錄的呢?

李成分析后得出這樣的結(jié)論：因?yàn)閕Cloud備份了微信整個(gè)App的數(shù)據(jù)。黑客拿到Apple ID賬號(hào)密碼后，換個(gè)手機(jī)用iCloud恢復(fù)微信App，如果他同時(shí)知道了你的微信賬號(hào)和密碼，那他用密碼登錄微信后，就能看到解密后的歷史聊天記錄。

根據(jù)微信與蘋果手機(jī)的相關(guān)協(xié)議，微信將應(yīng)用軟件內(nèi)的聊天記錄等數(shù)據(jù)備份在蘋果手機(jī)上，當(dāng)iCloud同步微信數(shù)據(jù)時(shí)，這些聊天記錄也會(huì)同步上傳至iCloud中。

而這里面最讓人擔(dān)心的是，iCloud不僅備份了微信的數(shù)據(jù)，幾乎大部分手機(jī)軟件里的App數(shù)據(jù)都被它備份了。

在QQ維權(quán)群里，有用戶發(fā)現(xiàn)支付寶賬單里出現(xiàn)了不明的大額消費(fèi)。

10月10日，支付寶通過官方微博發(fā)布消息稱：近期，支付寶檢測(cè)到部分iPhone用戶的ID出現(xiàn)被盜，由此帶來相關(guān)ID綁定的支付工具遭到資金損失。

“iCloud全盤備份手機(jī)里的軟件這個(gè)功能很危險(xiǎn)，一旦ID被泄露，用戶在各個(gè)手機(jī)軟件里的隱私都很危險(xiǎn)。”李成表示。

但令李成擔(dān)憂的是，目前微信單方面在技術(shù)上很難做到限制微信的聊天記錄這一項(xiàng)上傳到蘋果手機(jī)的iCloud，因?yàn)槭莍Cloud的備份行為是在手機(jī)后臺(tái)進(jìn)行的，作為前臺(tái)的App一般都感知不到。只要用戶選擇同意備份，所有前臺(tái)軟件的數(shù)據(jù)都會(huì)被上傳至iCloud。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，該法律對(duì)在中國境內(nèi)經(jīng)營的國外公司做出了新規(guī)定，為了最大程度上維護(hù)消費(fèi)者權(quán)益，必須將敏感數(shù)據(jù)存儲(chǔ)在國內(nèi)的服務(wù)器中。

于是，今年1月10日，蘋果公司發(fā)布公告稱，從2月28日起，中國內(nèi)地的iCloud服務(wù)將轉(zhuǎn)由云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司(簡(jiǎn)稱“云上貴州”)負(fù)責(zé)運(yùn)營。蘋果手機(jī)用戶Apple ID的國家或地區(qū)設(shè)置為中國的都在這次轉(zhuǎn)變的影響范圍內(nèi)。

根據(jù)協(xié)議，蘋果公司授權(quán)云上貴州公司作為蘋果公司在中國大陸運(yùn)營iCloud服務(wù)的唯一合作伙伴。云上貴州公司作為運(yùn)營主體，在中國大陸境內(nèi)運(yùn)營iCloud服務(wù)。

蘋果將在中國建造兩個(gè)iCloud數(shù)據(jù)中心，分別在內(nèi)蒙古烏蘭察布市和貴州貴安。其中貴安數(shù)據(jù)中心，今年5月已正式開建，將花費(fèi)10億美元。

蘋果手機(jī)用戶最直觀的體驗(yàn)，是在iCloud這朵云的logo底下會(huì)標(biāo)明“由云上貴州公司運(yùn)營”，這曾被視為蘋果進(jìn)入中國具有戰(zhàn)略意義的一步。

根據(jù)澎湃新聞報(bào)道，對(duì)于云上貴州是否能夠查看用戶iCloud中數(shù)據(jù)這一問題，蘋果官網(wǎng)上的iCloud服務(wù)模塊已經(jīng)發(fā)布了相關(guān)的解釋，在“訪問您的賬戶和內(nèi)容”一欄中明確寫道：“您理解并同意，蘋果公司和云上貴州有權(quán)訪問您在此服務(wù)中存儲(chǔ)的所有數(shù)據(jù)，包括根據(jù)適用法律向?qū)Ψ胶驮诒舜酥g共享、交換和披露所有用戶數(shù)據(jù)(包括內(nèi)容)的權(quán)利。”

有網(wǎng)友反饋，在iCloud轉(zhuǎn)到貴州之后，出現(xiàn)了iMessage垃圾信息暴增的現(xiàn)象。不少網(wǎng)友稱，“原來還好，自從iCloud轉(zhuǎn)到貴州后，老是收到iMessage垃圾信息”。

但云上貴州相關(guān)負(fù)責(zé)人曾對(duì)媒體回應(yīng)稱：“iMessage并不屬于云上貴州公司運(yùn)營中國大陸iCloud業(yè)務(wù)范疇。”

一名知乎用戶在《中國內(nèi)地的iCloud服務(wù)轉(zhuǎn)由云上貴州運(yùn)營意味著什么?》的問題下回復(fù)稱：“昨天同意了icloud的服務(wù)遷移，今天1點(diǎn)開始就接到貴州的營銷詐騙電話，目前已經(jīng)2個(gè)了。我的號(hào)碼所在地是上海，已經(jīng)使用8年，從來只接過江浙滬推銷詐騙，第一次接到貴州的。“

百萬美金的蘋果漏洞

10月11日，蘋果CEO庫克現(xiàn)身北京一家互聯(lián)網(wǎng)公司。他為何而來，人們不得而知。

但此時(shí)，無數(shù)的維權(quán)電話已經(jīng)打向全國的蘋果客服熱線，他們的申訴絕大部分都得不到回復(fù)，退款審核不予通過。

蘋果將會(huì)如何解決這次Apple ID被盜的問題呢?

在黃楊看來，如果是黑客攻克了蘋果手機(jī)的漏洞造成的，那毫無疑問，這是蘋果公司的責(zé)任，損失將由蘋果來承擔(dān)。但他認(rèn)為這種情況的概率很低。

“你知道蘋果手機(jī)的一個(gè)漏洞在市場(chǎng)上價(jià)值多少么?至少值100萬美元以上。”

早在2016年，美國的“網(wǎng)絡(luò)軍火商”zerodium就曾公開向外界懸賞100萬美金來破解蘋果手機(jī)，而且上不封頂。也就是你只要能挖到一個(gè)蘋果手機(jī)漏洞，立馬就能獲得至少百萬美元的獎(jiǎng)金，甚至更高。

即使不賣漏洞，如果掌握了蘋果手機(jī)的漏洞，黑客也能生成一個(gè)應(yīng)用分發(fā)市場(chǎng)。通過這個(gè)漏洞，可以不用通過蘋果應(yīng)用商店的審核條款，直接將一些應(yīng)用App安裝在用戶的蘋果手機(jī)上，這也是一個(gè)很大的生意。

早年的黑客，可能是為了惡作劇。但現(xiàn)在，漏洞早已經(jīng)成為各個(gè)國家的核心戰(zhàn)略資源。“就跟武器一樣，在公開市場(chǎng)上都能賣上高價(jià)，根本不用去做黑客靠犯罪賺錢，更不會(huì)輕易用在民間。”白帽匯科技CEO趙武表示。

而如今，國內(nèi)頂級(jí)的白帽(用黑客技術(shù)來維護(hù)網(wǎng)絡(luò)關(guān)系公平正義的人員)年薪都是百萬元以上，一些安全人員甚至達(dá)千萬年薪。因?yàn)樗麄兺诘揭粋€(gè)漏洞價(jià)值數(shù)萬美金，有的團(tuán)隊(duì)一年可以挖到數(shù)百個(gè)漏洞。

2017年在溫哥華舉辦的全球頂級(jí)黑客大賽Pwn2Own，已經(jīng)連續(xù)舉辦10年了，大賽的獎(jiǎng)金就高達(dá)百萬美金?，F(xiàn)場(chǎng)高手如云，來自中國、美國、德國的11支戰(zhàn)隊(duì)，完成針對(duì)主流瀏覽器、操作系統(tǒng)、虛擬機(jī)、文檔軟件等攻破項(xiàng)目。

“漏洞是一次性的，你用來做黑客，公司很快修好了就沒了。從投入產(chǎn)出比講，撞庫的成本最低，不用太多技術(shù)，而且屢試不爽。”趙武表示。

近些年，用戶數(shù)據(jù)經(jīng)常發(fā)生大規(guī)模泄露的事件。

2015年，網(wǎng)易的用戶數(shù)據(jù)庫遭泄露，影響數(shù)量總共近5億條，泄露信息包括用戶名、密碼(MD5)、密碼提示問題/答案(MD5)、注冊(cè)IP、生日等。

2016年12月，京東一個(gè)12G的數(shù)據(jù)包開始在黑市流通，其中包括用戶名、密碼、郵箱、QQ號(hào)、電話號(hào)碼、身份證等多個(gè)維度，數(shù)據(jù)多達(dá)數(shù)千萬條。

今年8月，華住酒店集團(tuán)的官網(wǎng)注冊(cè)資料、酒店入住登記的身份信息及酒店開房記錄，住客姓名、手機(jī)號(hào)、郵箱、身份證號(hào)、登錄賬號(hào)密碼約5億條用戶數(shù)據(jù)被泄露。

因?yàn)楹苌儆杏脩粼诿總€(gè)平臺(tái)設(shè)置不同的密碼，所以黑客會(huì)利用網(wǎng)絡(luò)上已經(jīng)泄露的大量的用戶數(shù)據(jù)，去嘗試登陸其他網(wǎng)站。

同時(shí)，販賣已泄露數(shù)據(jù)、販賣隱私的生意一直屢禁不絕。

2017年，公安部指揮破獲一起特大盜販公民信息案，共抓獲犯罪嫌疑人96名，初步查獲涉及物流、醫(yī)療、社交、銀行等各類被盜公民個(gè)人信息達(dá)50億條。

在黃楊看來，如今很多犯罪的黑客根本沒用太多的技術(shù)，大部分是利用已經(jīng)泄露的數(shù)據(jù)“撞庫”成功。但這次蘋果Apple ID被盜，撞庫或者內(nèi)鬼的可能性更大。

據(jù)了解，在信息安全行業(yè)，目前的數(shù)據(jù)泄露事件，有30%來自于黑客，有70%來自于內(nèi)鬼。

由于黑客無名，所以絕大部分的黑客攻擊事件，都是為了利益。

在此次蘋果Apple ID被盜事件中，除了賬號(hào)被泄，蘋果手機(jī)的強(qiáng)制免密支付才是導(dǎo)致大量用戶遭受財(cái)產(chǎn)損失的主因。

在QQ維權(quán)群里，蘋果的強(qiáng)制免密支付將成為此次被盜的蘋果手機(jī)用戶維權(quán)的重點(diǎn)。

《今晚財(cái)訊》記者在蘋果手機(jī)賬戶中發(fā)現(xiàn)，其內(nèi)設(shè)的付款方式有支付寶、微信、銀行卡、快捷支付等，而蘋果賬戶在綁定支付寶或微信等支付方式時(shí)，必須選擇免密支付。

而互聯(lián)網(wǎng)上資金最好變現(xiàn)的渠道就是那些游戲充值或是道具，所以這次很多人的賬戶被盜后被用去買游戲裝備，或者開通收費(fèi)訂閱。“收費(fèi)訂閱量越高，黑客拿的錢就越多。”趙武表示。

互踢皮球，誰之責(zé)?

盡管蘋果公司10月11日回應(yīng)稱正在積極解決ID被盜問題，但上海、北京等地的蘋果中國公司對(duì)被盜刷用戶提出的退款申訴卻表示無法操作。

一些蘋果手機(jī)用戶的支付寶也被盜刷。《今晚財(cái)訊》在詢問支付寶所屬的螞蟻金服會(huì)如何處理時(shí)，螞蟻金服市場(chǎng)公關(guān)部工作人員表示，這次主要是由于Apple ID被泄露導(dǎo)致的，如果賬號(hào)泄露了，任何支付方式都有風(fēng)險(xiǎn)。

事實(shí)上，在此之前，安全領(lǐng)域曾多次發(fā)生過同類型案例。“就算最終黑客被抓，但往往沒有任何一個(gè)人或公司會(huì)宣稱對(duì)大量的受害者負(fù)責(zé)。”趙武表示。

根據(jù)我國《刑法》第287條(利用計(jì)算機(jī)盜竊公私財(cái)物)和第264條盜竊罪，盜竊公私財(cái)物，數(shù)額巨大或者有其他嚴(yán)重情節(jié)的處三年以上十年以下有期徒刑。

黑客一旦被抓，等待的是法律的制裁。但相關(guān)公司該如何負(fù)責(zé)呢?

2018年1月3日，英特爾芯片被發(fā)現(xiàn)共有兩個(gè)漏洞，分別稱為“崩潰”和“幽靈”。黑客可利用這兩個(gè)漏洞讀取設(shè)備內(nèi)存，獲得密碼、密鑰等敏感信息。而英特爾、ARM、AMD等CPU產(chǎn)品紛紛遭受影響。其中，英特爾CPU受影響最為嚴(yán)重，影響范圍從酷睿一代到八代全部沒能幸免。

事件發(fā)生后，英特爾、微軟、谷歌、蘋果、亞馬遜、ARM等巨頭一起聯(lián)手，設(shè)法解決漏洞問題。

黃楊認(rèn)為，安全領(lǐng)域的事情，往往必須多方聯(lián)手才能共同解決。

而此次蘋果手機(jī)Apple ID被盜事件中，至少在強(qiáng)制免密支付環(huán)節(jié)上，蘋果公司就存在設(shè)計(jì)上的安全問題。

“蘋果強(qiáng)制免密支付是為了方便，它選擇了便利性而不是安全性。加入密碼、二次身份認(rèn)證或生物識(shí)別，都可以幫助用戶極大地避免盜刷。”趙武表示，在受害者維權(quán)后，蘋果公司可能會(huì)修改默認(rèn)的強(qiáng)制免密支付。

對(duì)于普通的蘋果手機(jī)用戶而言，為了防止手機(jī)信息被盜，趙武認(rèn)為主要有以下幾種方法：

首先，就是盡量將支付的賬號(hào)跟密碼在各個(gè)平臺(tái)都設(shè)置得不一樣;其次，是把二次驗(yàn)證要打開，盡量關(guān)閉免密支付;第三，盡量不要去用免費(fèi)的wifi，或者連一些公共wifi，不要使用公共充電線，不要去掃來路不明的二維碼等。

(趙雪嬌對(duì)本文亦有貢獻(xiàn))