被偷走的22万账号:苹果商店后台盗刷事件调查
盗刷
7月19日早上7点,像往常一样,苹果手机用户“蔷薇予酒”起床后打开手机,习惯性地滑动几下,点开苹果商店看看有没有新游戏上架,他发现已购项目里有一个叫做《热血街霸3D》的游戏。
“我以人格担保从没下过这款游戏。” 他对触乐记者说。
前三个App是在“蔷薇予酒”不知情的情况下下载的
“蔷薇予酒”的已购项目中还有两个从未下载过的的App:《心探》和《安徒生童话》。“《热血街霸3D》是7月17日下载,《安徒生童话》是7月21日。”截图清晰地记载了两款App下载的时间。“蔷薇予酒”告诉触乐记者,他的手机一直是用PP助手越狱,虽然之前听说过手机越狱后会被后台偷偷下载App的新闻,但自己从未遇到这种情况,也没当回事。
他开始寻找盗刷的元凶。起初,他怀疑PP助手从中作祟,因为曾经在PC端登陆过PP助手,而且也绑定过苹果账户,“可那是半年前的事情,要盗刷早就做了,何必等到现在。”后来他又怀疑是苹果漏洞(两年前盗刷风波曾经有过一次爆发,当时Struts2漏洞曾被认为是账号泄露的原因之一)而导致的用户信息泄露,但“两年过去了,苹果公司肯定已经修复了漏洞。”
寻求答案未果,“蔷薇予酒”登陆自己经常浏览的威锋网论坛,意外发现如此遭遇的不是一个人:论坛里一夜之间出现大量用户的发帖,谈论的都是被盗刷的经历。
■ “罗生门”
触乐记者在威锋网论坛发现,最近一个月内有超过3245个帖子包含“盗刷”关键词,另一关键词“刷榜”则有3246个结果。而搜索论坛推荐热门词“iTunes”,近一个月内结果也仅为4238个帖子。这说明,至少在威锋网上,“盗刷”、“刷榜”在七月已经达到热门搜索的层级。
搜索结果日期集中在7月20日前后
6月30日,苹果正式发布iOS 8.4正式版。新版上线仅一小时后,PP助手便发布“iOS8.4完美越狱”工具,而另一个越狱组织太极越狱则指责PP助手团队早已从内核层面完成了对太极越狱工具的反编译,抄袭其iOS8.1.3-8.3越狱工具;7月初,第一次大规模盗刷事件爆发,许多用户反映后台被下载《随时融》、《简理财》等App。7月17——7月20日,第二次大规模盗刷事件爆发,涉及App为《热血街霸3d》、《安徒生童话》、《心探》等。
用户遇到的情况也是五花八门:有的用户称只越狱没安装助手被盗刷,而且不论是使用太极越狱还是于PP助手合作的盘古越狱,都有可能遇到;有的用户因为在手机助手里绑定苹果账号被盗刷,而用户所称的“手机助手”涉及的范围很大,“我用itools被盗刷了,后来我为了实验,还原再越狱用PP助手又被盗刷了。”某位网友回忆说,他在第一次和第二次盗刷间使用了两种手机助手,结果都没能幸免。有的用户没绑定苹果账号,只用助手下载软件也被刷,甚至有用户发帖称:“我的手机没越狱也被盗刷了。”记者采访到这位名叫“凌玄轩”的网友,他告诉我,自己从没越狱过,不存在越狱漏洞后门一说,但是也被盗刷了。
盗刷涉及的利益相关方面之多极大增加了事件的复杂程度。后台盗刷只是一个结果,由结果反推原因,用户操作的每一环都成为被怀疑的对象:从开始越狱,安装第三方的Cydia插件,安装手机助手,安装各种“帮助软件”,任何一步都可能成为盗刷的真凶。
■ 疑云
《热血街霸3D》被怀疑是“盗刷”的获益者,在App Annie中搜索《热血街霸3D》的相关数据时,触乐发现在7月19日,游戏在免费榜的排名由前一日的接近1000名飙升至48名,在随后三天内也都保持在前100名,这也暗合论坛反映的第二次盗刷事件的爆发时间。记者联系到游戏负责人试图进行采访,在向他提出相关的问题后,他的回答语焉不详——在反复明确我的问题后,便再也没有回应。
而在今天凌晨两点,这款游戏在一次App Store榜单变动中排名消失,被苹果除名。
数据显示《热血街霸3D》在7月19日排名大幅提高,但在今日凌晨从榜单除名
从论坛以及采访获得的信息来看,用户普遍对手机助手的意见最大。而PP助手的相关人员则表示:“从苹果商店下载App要密码,要Touch ID,这些跳得过吗?” 他否认了用户对PP助手的指控,并向记者解释,PP助手主要靠游戏联运盈利,不会窃取用户的Apple ID作为商业用途。他告诉记者,苹果对系统的限制很大,即便是越狱后,权限的突破也是非常有限的。
这不是盗刷事件的第一次爆发。2013年7月,大量越狱苹果用户反映苹果商店后台自动下载App,当时的情讨论也是众说纷纭,莫衷一是。PP助手当时就曾发表过官方声明,在文章的结尾处,他们坚决地否认了外界的猜疑:“PP助手官方承诺绝不会利用包括用户帐户在内的任何用户隐私进行刷榜等非法行为,如有违反此承诺,愿意接受一切经济赔偿和法律制裁,欢迎各方监督!”
两年前,针对第一次盗刷事件,PP助手发布的官方声明
而专门负责App推广的孙先生则认为被盗刷很可能是因为用户越狱中了第三方插件的木马,“iOS刷榜的操作成本很高,真如你说的情况一样,那公司的推广经费应该是天文数字。”孙先生向触乐记者介绍,在他认识的刷榜公司里,还没有哪家能提供后台盗刷服务。“也可能是我的权限不够,就像古董店的尖货都是留给大客户看的,你可以跟刷榜公司聊聊。”
顺着孙先生提供的思路,记者佯装公司App需要推广,在与多家刷榜公司交流后,获得与其中一家直接沟通的机会。在与对方的交流中,记者首先询问一些常规冲榜的价格,当对话进展一段时间后,有意地提到能否提供“后台盗刷”的服务。“您说的这个我们真做不到,这也太恶心了。”对方直截了当地告诉记者,如果是刷榜的话,据他所知,行业内其他公司也不提供此类服务,这也应验先前孙先生说的话。