苹果商店后台盗刷事件：22万账号被盗！

       7月19日早上7点，像往常一样，苹果手机用户“蔷薇予酒”起床后打开手机，习惯性地滑动几下，点开苹果商店看看有没有新游戏上架，他发现已购项目里有一个叫做《热血街霸3D》的游戏。

　　“我以人格担保从没下过这款游戏。” 他对记者说。

　　前三个App是在“蔷薇予酒”不知情的情况下下载的

　　“蔷薇予酒”的已购项目中还有两个从未下载过的的App：《心探》和《安徒生童话》。“《热血街霸3D》是7月17日下载，《安徒生童话》是7月 21日。”截图清晰地记载了两款App下载的时间。“蔷薇予酒”告诉触乐记者，他的手机一直是用PP助手越狱，虽然之前听说过手机越狱后会被后台偷偷下载 App的新闻，但自己从未遇到这种情况，也没当回事。

　　他开始寻找盗刷的元凶。起初，他怀疑PP助手从中作祟，因为曾经在PC端登陆过PP助手，而且也绑定过苹果账户，“可那是半年前的事情，要盗刷早就做了，何必等到现在。”后来他又怀疑是苹果漏洞(两年前盗刷风波曾经有过一次爆发，当时Struts2漏洞曾被认为是账号泄露的原因之一)而导致的用户信息泄露，但“两年过去了，苹果公司肯定已经修复了漏洞。”

　　寻求答案未果，“蔷薇予酒”登陆自己经常浏览的威锋网论坛，意外发现如此遭遇的不是一个人：论坛里一夜之间出现大量用户的发帖，谈论的都是被盗刷的经历。

　　“罗生门”

　　记者在威锋网论坛发现，最近一个月内有超过3245个帖子包含“盗刷”关键词，另一关键词“刷榜”则有3246个结果。而搜索论坛推荐热门词 “iTunes”，近一个月内结果也仅为4238个帖子。这说明，至少在威锋网上，“盗刷”、“刷榜”在七月已经达到热门搜索的层级。

　　搜索结果日期集中在7月20日前后

　　6月30日，苹果正式发布iOS 8.4正式版。新版上线仅一小时后，PP助手便发布“iOS8.4完美越狱”工具，而另一个越狱组织太极越狱则指责PP助手团队早已从内核层面完成了对太极越狱工具的反编译，抄袭其iOS8.1.3-8.3越狱工具;7月初，第一次大规模盗刷事件爆发，许多用户反映后台被下载《随时融》、《简理财》等 App。7月17——7月20日，第二次大规模盗刷事件爆发，涉及App为《热血街霸3d》、《安徒生童话》、《心探》等。

　　用户遇到的情况也是五花八门：有的用户称只越狱没安装助手被盗刷，而且不论是使用太极越狱还是于PP助手合作的盘古越狱，都有可能遇到;有的用户因为在手机助手里绑定苹果账号被盗刷，而用户所称的“手机助手”涉及的范围很大，“我用itools被盗刷了，后来我为了实验，还原再越狱用PP助手又被盗刷了。”某位网友回忆说，他在第一次和第二次盗刷间使用了两种手机助手，结果都没能幸免。有的用户没绑定苹果账号，只用助手下载软件也被刷，甚至有用户发帖称：“我的手机没越狱也被盗刷了。”记者采访到这位名叫“凌玄轩”的网友，他告诉我，自己从没越狱过，不存在越狱漏洞后门一说，但是也被盗刷了。

　　盗刷涉及的利益相关方面之多极大增加了事件的复杂程度。后台盗刷只是一个结果，由结果反推原因，用户操作的每一环都成为被怀疑的对象：从越狱开始，安装第三方的Cydia插件，安装手机助手，安装各种“帮助软件”，任何一步都可能成为盗刷的真凶。

　　疑云

　　《热血街霸3D》被怀疑是“盗刷”的获益者，在App Annie中搜索《热血街霸3D》的相关数据时，发现在7月19日，游戏在免费榜的排名由前一日的接近1000名飙升至48名，在随后三天内也都保持在前100名，这也暗合论坛反映的第二次盗刷事件的爆发时间。记者联系到游戏负责人试图进行采访，在向他提出相关的问题后，他的回答语焉不详——在反复明确我的问题后，便再也没有回应。

　　而在今天凌晨两点，这款游戏在一次App Store榜单变动中排名消失，被苹果除名。

　　数据显示《热血街霸3D》在7月19日排名大幅提高，但在今日凌晨从榜单除名

　　从论坛以及采访获得的信息来看，用户普遍对手机助手的意见最大。而PP助手的相关人员则表示：“从苹果商店下载App要密码，要Touch ID，这些跳得过吗?” 他否认了用户对PP助手的指控，并向记者解释，PP助手主要靠游戏联运盈利，不会窃取用户的Apple ID作为商业用途。他告诉记者，苹果对系统的限制很大，即便是越狱后，权限的突破也是非常有限的。

　　这不是盗刷事件的第一次爆发。2013年7月，大量越狱苹果用户反映苹果商店后台自动下载App，当时的情讨论也是众说纷纭，莫衷一是。PP助手当时就曾发表过官方声明，在文章的结尾处，他们坚决地否认了外界的猜疑：“PP助手官方承诺绝不会利用包括用户帐户在内的任何用户隐私进行刷榜等非法行为，如有违反此承诺，愿意接受一切经济赔偿和法律制裁，欢迎各方监督!”

　　两年前，针对第一次盗刷事件，PP助手发布的官方声明

　　而专门负责App推广的孙先生则认为被盗刷很可能是因为用户越狱中了第三方插件的木马，“iOS刷榜的操作成本很高，真如你说的情况一样，那公司的推广经费应该是天文数字。”孙先生向触乐记者介绍，在他认识的刷榜公司里，还没有哪家能提供后台盗刷服务。“也可能是我的权限不够，就像古董店的尖货都是留给大客户看的，你可以跟刷榜公司聊聊。”

　　顺着孙先生提供的思路，记者佯装公司App需要推广，在与多家刷榜公司交流后，获得与其中一家直接沟通的机会。在与对方的交流中，记者首先询问一些常规冲榜的价格，当对话进展一段时间后，有意地提到能否提供“后台盗刷”的服务。“您说的这个我们真做不到，这也太恶心了。”对方直截了当地告诉记者，如果是刷榜的话，据他所知，行业内其他公司也不提供此类服务，这也应验先前孙先生说的话。

　　转机

　　正当事件越来越扑朔迷离的时候，今日(8月25日)凌晨的一条微博让整个事件出现转机。

　　威锋技术组在凌晨0点52分时发布长微博称发现某抢红包类助手通过后台注入存在收集用户iCloud用户账号、密码行为，此行为被认为与前段时间 “被刷榜”事件有紧密的联系。而通过漏洞检测发现，共有22万个左右有效的iCloud账号与密码被盗取，威锋技术组正在全面展开证据收集工作。微博还附有一张长图，详细验证用户资料被泄露的真实性。

　　目前有225563个苹果账户被泄露，数量依然在增加

　　威锋技术组并未指明“抢红包类助手”系哪家，但由于涉及面非常大，随后，威锋将此漏洞提交到了乌云漏洞报告平台及CNCERT国家互联网应急中心处理。

　　记者联系到最早发现此漏洞的技术工程师i_82，他接受了我们的采访。i_82是从7月开始关注这件事情的，但直到8月24日晚，他从互联网上抽查了一款“当下最热门的抢红包软件”，然后才发现了这个漏洞。

　　包括微信在内的各类即时通讯软件提供的红包功能诱发了用户的欲望，而各种“抢红包”插件则让这些欲望得以实现。在金钱——哪怕是几分钱人民币——面前，很多用户的理智降至底线，他们不加验证地在自己的手机上安装各种抢红包插件——而这些插件中多数含有木马。

　　“通讯软件应该是有责任的，客户端的反动态调试和反静态分析都没有达到作为一款支付软件应有的标准。” i_82对触乐记者表示，插件的工作原理是针对微信创建“钩子”，获取当前的用户登录信息，当收到红包事件的时候做出反应。然后伪装成微信客户端，以用户的登录信息，向服务器发送领取红包的请求，达到领取红包的目的。

　　i_82指出，部分通讯软件在处理红包逻辑上可能存在问题，用户在领取红包之前能从服务器获取到红包领取情况。但他同时向记者表示，大部分通讯软件本身的登录状态应该受到了严格的控制，用户的通讯软件帐号密码应该是安全的。

　　众所周知的是，越狱后的iPhone无法为用户提供哪怕是最初级的安全保障。仅在i_82检查的这个插件中，就已经发现超过22万个iCloud 帐号被泄露，除了这些帐号信息之外，泄露的资料甚至包括各类游戏的帐号鉴定，即使用抢红包软件的用户的游戏帐号及密码也同时存在泄露的危险。

　　“这只是庞大刷榜黑色产业的冰山一角”。i_82对记者表示。“iCloud 密码更容易被劫持，且风险更小，更隐蔽。”