日前,一则22万iCloud账户被盗的新闻引爆互联网,由于苹果的认证机制,iCloud账户并不是简单的虚拟账户,而直接关系到用户的财产安全,所以这个消息一公布就引发整个互联网的关注。
通常,人们都认为苹果的安全体系相对比较完善,人们也认为使用苹果手机,使用苹果的服务比较安全,那么这22万个iCloud账户是如何被盗的?我们的互联网为何如此不安全,连苹果都逃不过呢?
一、iCloud账户被盗的全过程
这次iCloud账户被盗的起因是今年 7 月不少用户发现的未经授权的 iOS 应用在自己的设备异常,随即威锋技术组的成员对问题进行调查。
在调查过程中,技术组发现了这款恶意软件,他们将之命名为“KeyRaider”,KeyRaider 瞄准的是越狱的 iOS 设备,它隐藏在各种插件中引诱用户下载。这些插件提供了很多诱人的功能,包括让用户免费从 App Store 下载应用,免费购买应用内购内容,游戏作弊、系统更改和去应用广告等等。
而用户一旦下载使用了这些插件,恶意软件就可以通过 Mobile Substrate 来注入系统,并通过拦截 iTunes 流量从而窃取苹果账号、密码和设备的 GUID,同时本地禁用任何类型的解锁操作。
这些用户信息会通过HTTP上传到服务器的数据库保存下来,安全人员在跟踪这个服务器的时候,发现这个服务器的数据库本身还有漏洞,于是利用漏洞查看了服务器中的数据库,结果发现了225941 个被盗的 Apple ID 用户名、密码和设备的 GUID 组合。
而所谓的用户免费从 App Store 下载应用,免费购买应用内购内容,不过是盗用了这些被盗的Apple ID用户名、密码来实现。所以一些被害者用户的苹果账户显示了异常的APP购买信息。
因为账号密码泄露,一些用户甚至手机被锁并被勒索钱财(拜苹果的特有安全机制所赐)。
通过对散播恶意程序的追查,技术组发现了两个网络id高度可疑,他们散播了大量包含KeyRaider的应用和插件吸引下载传播,由于互联网的特性,目前这些包含恶意程序的插件和应用已经传播到了18个国家,并且会继续传播。
二、事关经济利益的泄露
互联网信息泄露这些年我们已经见过不少,但是由于苹果设备的特殊性,这次信息泄露直接关系到用户的经济利益。
首先,这些账户可以直接从 App Store 购买付费应用,这些支出是由“受害人”承担的。如果是其他人购买付费应用,那么受害者就会替人买单。而更糟的一种可能是获得密码的人与付费应用开发者合作,直接让“受害者”购买付费应用,然后与开发者分账,这与盗窃无异。
而即使不购买付费应用,只购买免费应用。这些被盗的信息可以用于帮助应用提升在APP排行榜的位置,俗称刷单,而刷单行为本身就可以从APP开发者哪里获取推广费。
与普通窃取密码的恶意程序不同,这次KeyRaider在本地禁用任何类型的解锁操作,无论你是否输入正确的密码,窃取者都可以远程锁定你的手机,进行勒索,直到你付钱才帮你解锁。这已经赤裸裸的敲诈勒索罪了。
此外,窃取者还能获取你储存在云端的隐私,甚至通过掌握的密码对你进行社会工程学破解,获取你淘宝、网银这类更重要的密码,进行犯罪。总之,这次泄露的信息是非常危险的,它直接关系到被泄露者的经济利益,而不是简单的网络id问题。
三、个人安全观念缺失和监管缺位
从这次泄露的过程看,苹果公司似乎并没有太大责任。虽然苹果公司提供了收费APP的购买,但是苹果本身是不允许用户越狱,也不允许用户其他来源的应用和插件。这次被泄露隐私的用户,都是自己越狱,自己出于需要安装插件的。而绝大多数用户不是安全专家,并没有能力判断自己从其他途径获得的应用和插件是否安全。
苹果公司本来提供了安全方案,但是用户自己选择绕开,但是又没有能力确认是否安全。个人安全观念的缺失是造成的这次大规模泄漏的主因。
而另外一方面,目前对互联网安全监管的缺位也是重要原因。从KeyRaider的功能看,一方面可以盗取用户的账号密码直接购买付费应用,另外一方面可以锁定用户手机进行勒索。无论购买和勒索行为只要发生,窃取密码者可以被列为从犯。应该受到法律的严惩。
而在现实中,20多万密码被盗的受害人却没有听说过谁去报案,而且就是报案,警方是否受理也是问题。就是说,网络上通过盗取密码可以带来丰厚的收益,而这种行为却是法律打击的死角。在网络上进行各种攻击,可以获取无成本的高额收益。
其实,类似的行为有很多,通过饱和攻击瘫痪竞争对手网站,收取费用。盗取网站的信息传播出售,盗取网络游戏账号出售装备,牟取暴利,窃取个人信息出售给黑客或者犯罪份子,用户破解和诈骗…….。
现在互联网安全问题严重,并不是技术问题,而是可以获取暴利的犯罪行为没有有效的制裁途径,甚至没有合适的适用法律。
目前,刑法仅仅对侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,有相应刑罚。而绝大多数入侵或者攻击行为并不能列到里面去,而偏偏这种法外之地利益丰厚。出于趋利避害的本性必然会有越来越多的人去做这方面的“生意”。
所以监管缺位才是互联网安全问题严重的主要原因。在这个现状改变之前,我们只能加强自己的安全意识自求多福。