最近大量用户反应iTunes已购项目里无缘无故出现了很多自己没有购买过的APP,一时间苹果中国用户账号大量被盗的消息炸开了锅。
最近大量用户反应iTunes已购项目里无缘无故出现了很多自己没有购买过的APP,一时间苹果中国用户账号大量被盗的消息炸开了锅,有人将盗号的矛头指向了苹果第三方手机助手,在用户的讨伐声浪中,似乎iTools,PP助手和一款叫做IPAFree的越狱插件的嫌疑最大。其实仔细分析和综合各种新闻来看,事情没有这么简单。我们不禁要问,是谁盗用了我们的Apple ID进行刷榜?
刷榜刷到用户头上了
刷榜从来都不是新闻,但是今天这榜刷的有点大,刷到了用户的头上。有人的地方就有江湖,有江湖的地方就有杀戮,同样有App Store的地方就有排名,有排名的地方就可能存在刷榜。国内刷榜行业是一条完整的灰色产业链,刷榜要用到大量Apple ID,以往都是刷榜公司自己大量注册,或者是收购用户的账号,通过程序控制这些账号下载指定的应用程序,让被推广应用瞬间提高榜单排名。
苹果公司当然不允许他们敢在“太岁爷头上动土”,为了防止刷榜更改了算法,大幅度降低免费账户的下载权重,账户需充值50元人民币后,下载才会对榜单排行产生影响。为刷一个下载量要付出50元的代价,显然成本太高,之前的路走不通了,这下刷榜公司有点急了。
正所谓道高一尺,魔高一丈,如何才能继续廉价的进行刷榜呢?盗号!用户的Apple ID可是真真实实的活跃账号,绑架用户当刷榜肉鸡既可以减轻自己刷榜服务器压力,又增加了下载权重,何乐而不为。这下刷榜公司直接将战火烧到了用户头上。
谁动了我们Apple ID?
既然刷榜公司已经打定用户的主意,如何才能盗取Apple ID呢?恍惚舆论和用户的矛头都指向了国内两款苹果第三助手——iTools和PP助手,认为他们收集用户账号信息,倒卖给刷榜公司进行刷榜。
为什么许多用户怀疑是iTools和PP助手作祟呢?
第一,PP助手和iTools在苹果用户中市场占有率高,部分被盗号的用户确实是二者或其一的用户。
第二,二者都提供苹果官方市场(等同App Store)资源下载服务,用户通过二者下载苹果官方App资源需要输入Apple ID和密码,用户如果在这里登陆过,当账号发生异常时容易首先怀疑这两者。
第三,不排除有人利用盗号刷榜事件故意摸黑对手。
然而同样可以记录用户账户信息的91助手却很少被人提到,不得不令人生疑,有论坛网友也表达了和笔者同样的疑虑。
各方表态
针对该事件,PP助手和iTools都在第一时间通过微博或论坛发表了官方声明,都明确表达没有盗取用户的苹果账号。
国内还有一些第三方助手没有内置苹果官方商店,也就不需要输入Apple ID。这下热闹了,有人忙着灭火,有人忙着澄清,还有人忙着看戏。看热闹的还就怕事儿闹不大,但不要忘了,各种第三方助手和苹果设备都是最直接相关的软件,事情没有水落石出之前都还有嫌疑。
真的是他们干的吗
到底是不是他们干的不好说,91助手目前刚被百度以天价收购,以常理分析显然不太可能缺钱要盗取用户密码卖给刷榜公司,再说PP助手和iTools,二者背后都有大公司投资,尤其像PP助手这种以用户起家的产品不太可能因此砸了自己的饭碗。
值得注意的一点是,有部分用户反映手机并没有越狱,也没用过苹果第三方手机助手,只用iTunes,同样不幸中招。
这不得不令人生疑,没用过各种手机助手也出现这种问题,虽然不足以洗脱第三方助手们的“罪名”,至少说明事情没有像想得那样非黑即白。一般来说如果账号被盗,及时修改密码应该就能防止继续当肉鸡,但是部分网友反映“改密码是无效的”。
修改密码都没用?事情好像有点扑朔迷离,有人怀疑是不是从App Store中下载的应用将我们的账号泄露出去的;更有“危言耸听”者怀疑刷榜公司在苹果内部有人,能够批量提取账号信息!应该说这种可能性很小,像谷歌、苹果这样的大公司格外看重用户的隐私,难道真的是这样?
是苹果监守自盗?
是不是苹果监守自盗?最近苹果遇到了麻烦:苹果开发者中心遭到黑客攻击已经宕机,到目前为止依然处于关闭状态。
苹果发表声明表示:“上周四,入侵者试图从我们的开发者网站获取注册开发人员的个人信息。”即使信息已被加密,“我们不能排除一些开发者的名字、邮寄地址与电子邮件地址可能已被非法访问。”这也就是说开发者信息已经被窃取,然而受到波及的远远不仅是开发者。
都是Struts2漏洞惹的祸
这次攻破苹果开发者中心,黑客所利用的是Struts2漏洞,Struts2漏洞最初爆出的时间是7月14日,这刚好和用户发现苹果账号异常的时间相吻合。
Struts2为Struts下一代产品,是用于开发Web应用的开发框架。Struts是Apache软件基金会赞助的一个开源项目,有超80%的网站使用该底层模板。而且在Struts2漏洞爆出后,Apache官方很不负责任的披露了该漏洞利用方法,甚至黑客中的“小白”也能利用工具入侵网站。
根据国内著名的漏洞报告平台—乌云漏洞平台最新确认的漏洞名单中,中国电信、中国联通等运营商部分分站,中科院、工信部、交通部、中国邮政等部分站点,以及腾讯、淘宝、搜狐等大型互联网公司的部分分站均在列。
如果黑客利用Stuts2漏洞攻破开发者中心,那么也可以从苹果公司直接窃取用户的Apple ID信息,甚至整个数据库都有可能被“抽走”。这也就不难理解为什么有些用户根本没用过第三方助手,Apple ID依然被利用刷榜,同样可以解释为什么在修改密码后也不能根治被盗的原因。
无论怎么说,苹果用户应该保持警惕,查看自己账户余额,必要时取消信用卡绑定以避免损失。
网友评论