日前,一則22萬iCloud賬戶被盜的新聞引爆互聯網,由于蘋果的認證機制,iCloud賬戶并不是簡單的虛擬賬戶,而直接關系到用戶的財產安全,所以這個消息一公布就引發整個互聯網的關注。
通常,人們都認為蘋果的安全體系相對比較完善,人們也認為使用蘋果手機,使用蘋果的服務比較安全,那么這22萬個iCloud賬戶是如何被盜的?我們的互聯網為何如此不安全,連蘋果都逃不過呢?
一、iCloud賬戶被盜的全過程
這次iCloud賬戶被盜的起因是今年 7 月不少用戶發現的未經授權的 iOS 應用在自己的設備異常,隨即威鋒技術組的成員對問題進行調查。
在調查過程中,技術組發現了這款惡意軟件,他們將之命名為“KeyRaider”,KeyRaider 瞄準的是越獄的 iOS 設備,它隱藏在各種插件中引誘用戶下載。這些插件提供了很多誘人的功能,包括讓用戶免費從 App Store 下載應用,免費購買應用內購內容,游戲作弊、系統更改和去應用廣告等等。
而用戶一旦下載使用了這些插件,惡意軟件就可以通過 Mobile Substrate 來注入系統,并通過攔截 iTunes 流量從而竊取蘋果賬號、密碼和設備的 GUID,同時本地禁用任何類型的解鎖操作。
這些用戶信息會通過HTTP上傳到服務器的數據庫保存下來,安全人員在跟蹤這個服務器的時候,發現這個服務器的數據庫本身還有漏洞,于是利用漏洞查看了服務器中的數據庫,結果發現了225941 個被盜的 Apple ID 用戶名、密碼和設備的 GUID 組合。
而所謂的用戶免費從 App Store 下載應用,免費購買應用內購內容,不過是盜用了這些被盜的Apple ID用戶名、密碼來實現。所以一些被害者用戶的蘋果賬戶顯示了異常的APP購買信息。
因為賬號密碼泄露,一些用戶甚至手機被鎖并被勒索錢財(拜蘋果的特有安全機制所賜)。
通過對散播惡意程序的追查,技術組發現了兩個網絡id高度可疑,他們散播了大量包含KeyRaider的應用和插件吸引下載傳播,由于互聯網的特性,目前這些包含惡意程序的插件和應用已經傳播到了18個國家,并且會繼續傳播。
二、事關經濟利益的泄露
互聯網信息泄露這些年我們已經見過不少,但是由于蘋果設備的特殊性,這次信息泄露直接關系到用戶的經濟利益。
首先,這些賬戶可以直接從 App Store 購買付費應用,這些支出是由“受害人”承擔的。如果是其他人購買付費應用,那么受害者就會替人買單。而更糟的一種可能是獲得密碼的人與付費應用開發者合作,直接讓“受害者”購買付費應用,然后與開發者分賬,這與盜竊無異。
而即使不購買付費應用,只購買免費應用。這些被盜的信息可以用于幫助應用提升在APP排行榜的位置,俗稱刷單,而刷單行為本身就可以從APP開發者哪里獲取推廣費。
與普通竊取密碼的惡意程序不同,這次KeyRaider在本地禁用任何類型的解鎖操作,無論你是否輸入正確的密碼,竊取者都可以遠程鎖定你的手機,進行勒索,直到你付錢才幫你解鎖。這已經赤裸裸的敲詐勒索罪了。
此外,竊取者還能獲取你儲存在云端的隱私,甚至通過掌握的密碼對你進行社會工程學破解,獲取你淘寶、網銀這類更重要的密碼,進行犯罪。總之,這次泄露的信息是非常危險的,它直接關系到被泄露者的經濟利益,而不是簡單的網絡id問題。
三、個人安全觀念缺失和監管缺位
從這次泄露的過程看,蘋果公司似乎并沒有太大責任。雖然蘋果公司提供了收費APP的購買,但是蘋果本身是不允許用戶越獄,也不允許用戶其他來源的應用和插件。這次被泄露隱私的用戶,都是自己越獄,自己出于需要安裝插件的。而絕大多數用戶不是安全專家,并沒有能力判斷自己從其他途徑獲得的應用和插件是否安全。
蘋果公司本來提供了安全方案,但是用戶自己選擇繞開,但是又沒有能力確認是否安全。個人安全觀念的缺失是造成的這次大規模泄漏的主因。
而另外一方面,目前對互聯網安全監管的缺位也是重要原因。從KeyRaider的功能看,一方面可以盜取用戶的賬號密碼直接購買付費應用,另外一方面可以鎖定用戶手機進行勒索。無論購買和勒索行為只要發生,竊取密碼者可以被列為從犯。應該受到法律的嚴懲。
而在現實中,20多萬密碼被盜的受害人卻沒有聽說過誰去報案,而且就是報案,警方是否受理也是問題。就是說,網絡上通過盜取密碼可以帶來豐厚的收益,而這種行為卻是法律打擊的死角。在網絡上進行各種攻擊,可以獲取無成本的高額收益。
其實,類似的行為有很多,通過飽和攻擊癱瘓競爭對手網站,收取費用。盜取網站的信息傳播出售,盜取網絡游戲賬號出售裝備,牟取暴利,竊取個人信息出售給黑客或者犯罪份子,用戶破解和詐騙…….。
現在互聯網安全問題嚴重,并不是技術問題,而是可以獲取暴利的犯罪行為沒有有效的制裁途徑,甚至沒有合適的適用法律。
目前,刑法僅僅對侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,有相應刑罰。而絕大多數入侵或者攻擊行為并不能列到里面去,而偏偏這種法外之地利益豐厚。出于趨利避害的本性必然會有越來越多的人去做這方面的“生意”。
所以監管缺位才是互聯網安全問題嚴重的主要原因。在這個現狀改變之前,我們只能加強自己的安全意識自求多福。
京公網安備 11010502049343號