蘋果ID洩露疑雲調查

原標題：蘋果ID洩露疑雲調查

　　【新產品上線啦】51CTO播客，隨時隨地，碎片化學習

一場大範圍的蘋果手機使用者 ID被盜風波正席捲全國。

在幾個 ID被盜的QQ維權群裡，來自全國各地的受害者近一千人。

但這只是冰山一角。

“還有很多人 ID被盜了根本不知道，有些受害者沒有參與維權，實際受害人數應該遠遠超過這個數字。”從事多年網路安全工作的黃楊(化名)稱。

在他看來，這是一條百分之百針對中國蘋果手機使用者的黑色產業鏈，團隊作案，規模不小。

隨後，記者被拉到一個 ID被盜維權群裡，有400多名受害者在群裡商量該如何去跟蘋果維權。他們被盜時間從今年2月到10月，其中9-10月被盜使用者數佔大多數。被盜刷金額從幾百至數萬元不等，大多集中在2000-3000元。

黃楊告訴《今晚財訊》，今年七八月份以來，他身邊就發生了好幾例 ID被盜事件。跟業內諸多從事手機安全的同行交流之後，他發現有使用者在 ID被盜後，手機裡的微信歷史聊天記錄也很快被破解並外洩出來了，“連微信的賬號密碼都能被準確地掌握到，那顯然不是微信單方面能解決的問題”。

黃楊稱，他們一直在追蹤，並最終發現這是一條黑產。“如果能獲得幾千萬到上億元的資金，對任何一個黑產團隊都是非常大的收入了。”

那麼這些 ID都是如何被洩露的呢?

“這次被盜，不像是黑客攻破了蘋果手機的漏洞，反倒是撞庫或內部人作案的可能性更大。”北京白帽匯科技CEO趙武告訴記者。

所謂撞庫，是指黑客利用網路上已經洩露的大量的使用者資料，利用使用者相同的習慣(相同的使用者名稱和密碼)，去嘗試登陸其它的網站，從而導致其他網站上的資訊也被破解。

蘋果手機為什麼會在中國發生如此大規模的ID被盜事件?

“今年2月底，蘋果將中國使用者的iCloud資料庫從美國搬到了雲上貴州。”黃楊沉默了一下，回答說。

被竊取的微信聊天記錄

10月11日下午，深圳騰訊大廈。

身為騰訊微信支付部門的風控負責人，李成(化名)正焦急地跟同事討論關於微信在iCloud上的備份問題。

iCloud是蘋果推出的個人雲端儲存業務，主要用於儲存iPhone、iPad等裝置上的照片、視訊、文件和App資料，以便在各個裝置間實現同步更新。

這次 ID被盜事件中最奇怪的是，不僅僅是使用者的 ID賬號密碼被洩露，洩露的還有一些使用者的微信聊天記錄。

但李成告訴《今晚財訊》：“微信聊天記錄平時在手機裡是加密備份的，你換個手機就看不到這些聊天記錄了。”

那麼，黑客是如何拿到一個人蘋果手機裡的微信聊天記錄的呢?

李成分析後得出這樣的結論：因為iCloud備份了微信整個App的資料。黑客拿到 ID賬號密碼後，換個手機用iCloud恢復微信App，如果他同時知道了你的微信賬號和密碼，那他用密碼登入微信後，就能看到解密後的歷史聊天記錄。

根據微信與蘋果手機的相關協議，微信將應用軟體內的聊天記錄等資料備份在蘋果手機上，當iCloud同步微信資料時，這些聊天記錄也會同步上傳至iCloud中。

而這裡面最讓人擔心的是，iCloud不僅備份了微信的資料，幾乎大部分手機軟體裡的App資料都被它備份了。

在QQ維權群裡，有使用者發現支付寶賬單裡出現了不明的大額消費。

10月10日，支付寶通過官方微博釋出訊息稱：近期，支付寶檢測到部分iPhone使用者的ID出現被盜，由此帶來相關ID繫結的支付工具遭到資金損失。

“iCloud全盤備份手機裡的軟體這個功能很危險，一旦ID被洩露，使用者在各個手機軟體裡的隱私都很危險。”李成表示。

但令李成擔憂的是，目前微信單方面在技術上很難做到限制微信的聊天記錄這一項上傳到蘋果手機的iCloud，因為是iCloud的備份行為是在手機後臺進行的，作為前臺的App一般都感知不到。只要使用者選擇同意備份，所有前臺軟體的資料都會被上傳至iCloud。

2017年6月1日，《中華人民共和國網路安全法》正式實施，該法律對在中國境內經營的國外公司做出了新規定，為了最大程度上維護消費者權益，必須將敏感資料儲存在國內的伺服器中。

於是，今年1月10日，蘋果公司釋出公告稱，從2月28日起，中國內地的iCloud服務將轉由雲上貴州大資料產業發展有限公司(簡稱“雲上貴州”)負責運營。蘋果手機使用者 ID的國家或地區設定為中國的都在這次轉變的影響範圍內。

根據協議，蘋果公司授權雲上貴州公司作為蘋果公司在中國大陸運營iCloud服務的唯一合作伙伴。雲上貴州公司作為運營主體，在中國大陸境內運營iCloud服務。

蘋果將在中國建造兩個iCloud資料中心，分別在內蒙古烏蘭察布市和貴州貴安。其中貴安資料中心，今年5月已正式開建，將花費10億美元。

蘋果手機使用者最直觀的體驗，是在iCloud這朵雲的logo底下會標明“由雲上貴州公司運營”，這曾被視為蘋果進入中國具有戰略意義的一步。

根據澎湃新聞報道，對於雲上貴州是否能夠檢視使用者iCloud中資料這一問題，蘋果官網上的iCloud服務模組已經發布了相關的解釋，在“訪問您的賬戶和內容”一欄中明確寫道：“您理解並同意，蘋果公司和雲上貴州有權訪問您在此服務中儲存的所有資料，包括根據適用法律向對方和在彼此之間共享、交換和披露所有使用者資料(包括內容)的權利。”

有網友反饋，在iCloud轉到貴州之後，出現了iMessage垃圾資訊暴增的現象。不少網友稱，“原來還好，自從iCloud轉到貴州後，老是收到iMessage垃圾資訊”。

但云上貴州相關負責人曾對媒體迴應稱：“iMessage並不屬於雲上貴州公司運營中國大陸iCloud業務範疇。”

一名知乎使用者在《中國內地的iCloud服務轉由雲上貴州運營意味著什麼?》的問題下回複稱：“昨天同意了icloud的服務遷移，今天1點開始就接到貴州的營銷詐騙電話，目前已經2個了。我的號碼所在地是上海，已經使用8年，從來只接過江浙滬推銷詐騙，第一次接到貴州的。“

百萬美金的蘋果漏洞

10月11日，蘋果CEO庫克現身北京一家網際網路公司。他為何而來，人們不得而知。

但此時，無數的維權電話已經打向全國的蘋果客服熱線，他們的申訴絕大部分都得不到回覆，退款稽核不予通過。

蘋果將會如何解決這次 ID被盜的問題呢?

在黃楊看來，如果是黑客攻克了蘋果手機的漏洞造成的，那毫無疑問，這是蘋果公司的責任，損失將由蘋果來承擔。但他認為這種情況的概率很低。

“你知道蘋果手機的一個漏洞在市場上價值多少麼?至少值100萬美元以上。”

早在2016年，美國的“網路軍火商”zerodium就曾公開向外界懸賞100萬美金來破解蘋果手機，而且上不封頂。也就是你只要能挖到一個蘋果手機漏洞，立馬就能獲得至少百萬美元的獎金，甚至更高。

即使不賣漏洞，如果掌握了蘋果手機的漏洞，黑客也能生成一個應用分發市場。通過這個漏洞，可以不用通過蘋果應用商店的稽核條款，直接將一些應用App安裝在使用者的蘋果手機上，這也是一個很大的生意。

早年的黑客，可能是為了惡作劇。但現在，漏洞早已經成為各個國家的核心戰略資源。“就跟武器一樣，在公開市場上都能賣上高價，根本不用去做黑客靠犯罪賺錢，更不會輕易用在民間。”白帽匯科技CEO趙武表示。

而如今，國內頂級的白帽(用黑客技術來維護網路關係公平正義的人員)年薪都是百萬元以上，一些安全人員甚至達千萬年薪。因為他們挖到一個漏洞價值數萬美金，有的團隊一年可以挖到數百個漏洞。

2017年在溫哥華舉辦的全球頂級黑客大賽Pwn2Own，已經連續舉辦10年了，大賽的獎金就高達百萬美金。現場高手如雲，來自中國、美國、德國的11支戰隊，完成針對主流瀏覽器、作業系統、虛擬機器、文件軟體等攻破專案。

“漏洞是一次性的，你用來做黑客，公司很快修好了就沒了。從投入產出比講，撞庫的成本最低，不用太多技術，而且屢試不爽。”趙武表示。

近些年，使用者資料經常發生大規模洩露的事件。

2015年，網易的使用者資料庫遭洩露，影響數量總共近5億條，洩露資訊包括使用者名稱、密碼(MD5)、密碼提示問題/答案(MD5)、註冊IP、生日等。

2016年12月，京東一個12G的資料包開始在黑市流通，其中包括使用者名稱、密碼、郵箱、QQ號、電話號碼、身份證等多個維度，資料多達數千萬條。

今年8月，華住酒店集團的官網註冊資料、酒店入住登記的身份資訊及酒店開房記錄，住客姓名、手機號、郵箱、身份證號、登入賬號密碼約5億條使用者資料被洩露。

因為很少有使用者在每個平臺設定不同的密碼，所以黑客會利用網路上已經洩露的大量的使用者資料，去嘗試登陸其他網站。

同時，販賣已洩露資料、販賣隱私的生意一直屢禁不絕。

2017年，公安部指揮破獲一起特大盜販公民資訊案，共抓獲犯罪嫌疑人96名，初步查獲涉及物流、醫療、社交、銀行等各類被盜公民個人資訊達50億條。

在黃楊看來，如今很多犯罪的黑客根本沒用太多的技術，大部分是利用已經洩露的資料“撞庫”成功。但這次蘋果 ID被盜，撞庫或者內鬼的可能性更大。

據瞭解，在資訊保安行業，目前的資料洩露事件，有30%來自於黑客，有70%來自於內鬼。

由於黑客無名，所以絕大部分的黑客攻擊事件，都是為了利益。

在此次蘋果 ID被盜事件中，除了賬號被洩，蘋果手機的強制免密支付才是導致大量使用者遭受財產損失的主因。

在QQ維權群裡，蘋果的強制免密支付將成為此次被盜的蘋果手機使用者維權的重點。

《今晚財訊》記者在蘋果手機賬戶中發現，其內設的付款方式有支付寶、微信、銀行卡、快捷支付等，而蘋果賬戶在繫結支付寶或微信等支付方式時，必須選擇免密支付。

而網際網路上資金最好變現的渠道就是那些遊戲充值或是道具，所以這次很多人的賬戶被盜後被用去買遊戲裝備，或者開通收費訂閱。“收費訂閱量越高，黑客拿的錢就越多。”趙武表示。

互踢皮球，誰之責?

儘管蘋果公司10月11日迴應稱正在積極解決ID被盜問題，但上海、北京等地的蘋果中國公司對被盜刷使用者提出的退款申訴卻表示無法操作。

一些蘋果手機使用者的支付寶也被盜刷。《今晚財訊》在詢問支付寶所屬的螞蟻金服會如何處理時，螞蟻金服市場公關部工作人員表示，這次主要是由於 ID被洩露導致的，如果賬號洩露了，任何支付方式都有風險。

事實上，在此之前，安全領域曾多次發生過同類型案例。“就算最終黑客被抓，但往往沒有任何一個人或公司會宣稱對大量的受害者負責。”趙武表示。

根據我國《刑法》第287條(利用計算機盜竊公私財物)和第264條盜竊罪，盜竊公私財物，數額巨大或者有其他嚴重情節的處三年以上十年以下有期徒刑。

黑客一旦被抓，等待的是法律的制裁。但相關公司該如何負責呢?

2018年1月3日，英特爾晶片被發現共有兩個漏洞，分別稱為“崩潰”和“幽靈”。黑客可利用這兩個漏洞讀取裝置記憶體，獲得密碼、金鑰等敏感資訊。而英特爾、ARM、AMD等CPU產品紛紛遭受影響。其中，英特爾CPU受影響最為嚴重，影響範圍從酷睿一代到八代全部沒能倖免。

事件發生後，英特爾、微軟、谷歌、蘋果、亞馬遜、ARM等巨頭一起聯手，設法解決漏洞問題。

黃楊認為，安全領域的事情，往往必須多方聯手才能共同解決。

而此次蘋果手機 ID被盜事件中，至少在強制免密支付環節上，蘋果公司就存在設計上的安全問題。

“蘋果強制免密支付是為了方便，它選擇了便利性而不是安全性。加入密碼、二次身份認證或生物識別，都可以幫助使用者極大地避免盜刷。”趙武表示，在受害者維權後，蘋果公司可能會修改預設的強制免密支付。

對於普通的蘋果手機使用者而言，為了防止手機資訊被盜，趙武認為主要有以下幾種方法：

首先，就是儘量將支付的賬號跟密碼在各個平臺都設定得不一樣;其次，是把二次驗證要開啟，儘量關閉免密支付;第三，儘量不要去用免費的wifi，或者連一些公共wifi，不要使用公共充電線，不要去掃來路不明的二維碼等。