今天小編分享的科技經驗:App Store城堡被攻破,iPhone也有釣魚應用了嗎?,歡迎閲讀。
自 2008 年 Apple 在 iPhone OS 2.0.1 中推出 App Store 以來,關于 App Store 過于封閉的聲讨就從未停歇。不同于可以自由安裝第三方軟體的 macOS,iPhone 用户想運行非 App Store 應用的方式極為有限:要麼自己籤名部署、要麼使用專門的企業工具進行 App 分發。
對于這種近乎「壟斷」的 App 分發策略,不同用户有不同的看法,有的人認為這是 Apple 限制用户選擇的手段,也有人認為這是維護 iOS 生态秩序的代價——不開放 App Store 意味着每一款 App 都必須經過 Apple 的審查,這也是某些熱愛搜集用户數據的流氓互聯網巨頭在 iOS 上表現異常「温順」原因。
圖片來源:Apple
但如果 Apple「嚴格」地審核下有漏網之魚呢?比如上個月就有網友在 V2EX 上分享家人被 App Store 中的惡意應用盜号,導致财產損失的案例。
圖片來源:V2EX
根據原帖分享,當事人在 App Store 上下載了名為「菜譜大全」的 App,并會選擇使用 Apple ID 登錄。随後 App 發起了一個偽裝成 Apple 驗證的彈窗,要求當事人輸入 Apple ID 密碼。第二天凌晨,當事人發現 iPhone 被抹掉資料,并在重新配置手機的過程中收到了銀行的支付通知短信,這才發現 Apple ID 被不法分子盜用、盜刷。
經過後續分析,該 App 釣魚攻擊鏈路被大致探明:
除了常見的手機号、微信登錄外,這款「菜譜大全」還提供了「Apple ID 登錄」的選項,這一功能在 iOS 13 中首次出現,允許用户在 Face ID 或 Touch ID 驗證後直接通過 Apple ID 創建新用户,不再需要另外輸入郵箱、設定密碼、接收驗證碼。使用這一功能是,Apple 會詢問用户用哪個郵箱進行注冊:
用户可以用 Apple ID 綁定的正式郵箱地址,或由 Apple 生成的一次性轉發地址進行登錄。前者會向 App 開發者提交 Apple ID 的真實郵箱地址,後者則提交随機生成的虛拟地址,并通過 Apple 的伺服器進行郵件轉發,從而向 App 開發者隐藏真實郵箱,從而保護用户數據。
這裏當事人選擇了使用 Apple ID 登錄,因此不法分子獲得了用户的真實郵箱。
随後,不法分子向用户發起了一個名為「AppLeID」的彈窗,誘導用户輸入 Apple ID 密碼。理論上這種直接要求用户輸入密碼的行為應該喚醒用户的警覺,但由于 Apple「謎一樣」的安全策略,在下載 App 時要求輸入 Apple ID 密碼的現象非常常見,甚至有些時候連更新 App 都需要輸入 Apple ID 密碼,所以當事人并未察覺到異常,直接一明文将密碼發給了不法分子。
此時用户已經将賬户郵箱和密碼一起發給了不法分子,擋在不法分子面前的就只剩下 Apple 的二步驗證,也就是大家平時常見的一次性驗證碼驗證了。但在這裏,不法分子使用了一個小手段:為了不頻繁打斷用户操作,二步驗證一般只在第一次使用陌生設備時用到。
而當事人的手機自然不屬于陌生設備,當用户在 App 中使用 Apple 登錄後,App 就可以在後台訪問 iCloud,并利用剛剛騙來的 Apple ID 密碼将不法分子的手機号添加到當事人 Apple ID 的安全手機号當中。完成後,即使不法分子需要使用輸入二步驗證的驗證碼,也可以直接用自己的手機号請求驗證,無須攻破 iOS 的沙盒讀取用户短信。
圖片來源:雷科技
到這裏,不法分子已經獲取了用户賬户郵箱、密碼和二步驗證的驗證碼了,之後只需要在 iCloud 中将自己的小号添加為家庭組并開通家庭組支付,就可以開始盜刷當事人所綁定的微信免密支付了。盜刷完成後,不法分子只需要通過 iCloud 抹掉當事人的手機,就可以消除當事人手機中的所有短信記錄,悄無聲息地完成盜刷了。
幸運的是,用户在第一時間就發現了手機被遠程抹掉,銀行的扣款短信并未遠程删除,這才為當事人留下了反應的時間。如果短信被成功抹掉,當事人很可能根本不知道自己的 Apple ID 被遠程盜刷。
可能有人會覺得此次事件中當事人在陌生彈窗中輸入 Apple ID 密碼的行為很「笨」,甚至會笑話當事人連「AppLeID」這麼明顯的釣魚彈窗都深信不疑,但實際上被釣魚視窗欺騙只不過是整個盜刷過程中最微不足道的錯誤。
沒錯,「AppLeID」确實屬于「藝高人膽大」的詐騙标題,但如果不法分子打的是「AppIe ID」「App1e ID」甚至是用西裏爾字母拼寫出來的「Арр l е ID」呢?大家又能分得出「Арр l е ID」和「Apple ID」之間的區别嗎?
在我看來,除了用釣魚手段盜取用户資料的不法分子外,Apple 也需要對此負責。不同于開放的 Android 應用生态,iOS 作為 Apple 生态中的最重要的組成部分,有着極為嚴格的 App 分發限制。甚至在 Apple 的平台安全保護頁面就寫道:
與其他移動平台不同,iOS 和 iPadOS 不允許用户安裝來自網站的潛在惡意未籤名 App 或者運行不受信任的 App。運行時,所有可執行内存頁會在載入時進行代碼籤名檢查,以幫助确保 App 自安裝或上次更新之後未被修改過。
換句話説,iOS 用户之所以願意只從 App Store 中下載軟體,是因為 iOS 用户以 App 安全作為代價,讓渡了一部分選擇的權利。而作為應用審核的一部份,Apple 也理應發現這種打着「AppLe」名号的釣魚行為,别忘了 Apple 對 App 熱更新可是有嚴格管控的。如果 Apple 的審核無法有效過濾惡意釣魚應用,那還不如直接開放應用側載,讓用户自己為自己的信息安全負責。
早在 2022 年,我們就讨論過 Apple 是否會開放側載功能,彼時的意見主要分為兩派,一派認為 Apple 會在外部的壓力下,開放側載支持,另一派則認為 Apple 會頂住壓力,繼續維持自己的封閉生态。
支持側載的一方認為,在最高 20% 的全球營收罰款和歐洲市場的威懾下,Apple 肯定會妥協的。而封閉方則認為,Apple AppleCEO 庫克公開表示過 Apple 不會支持側載,側載會對 Apple 生态的安全造成嚴重影響。
記者 Mark Gurman 聲稱自己得到了内部消息,Apple 将會在 iOS 17 中首次允許 iPhone 用户下載 App Store 以外的應用程式并安裝。
當然,目前并不清楚是允許用户任意下載,還是需要通過 Apple 認證的第三方渠道下載,但是從實際的結果來看,Apple 開放側載功能應該已經是板上釘釘的事情,至少在歐洲市場 Apple 肯定會開放該功能。
在這條新聞下面,不少網友都疑惑 Apple 為何會屈服,難道 Apple 真的願意将經營多年的封閉式生态親手毀掉?同時還有不少網友直言:「支持側載的 iOS 和安卓有什麼區别,以後看看誰還買 Apple」。
在我看來,Apple 的多數用户其實都可以歸類為「傳統用户」的行列,他們不會折騰系統的各種配置、不會費盡心思對比手機的各項參數,他們對于手機的唯一要求就是「流暢」與「好用」。
對于多數用户而言,App Store 依然是他們最好的選擇,不需要擔心 App 被植入惡意代碼,不需要擔心 App 被捆綁一些不知名軟體。即使在一向以開放著稱的安卓手機中,也有不少用户選擇只從應用商店下載 App,只有在應用商店實在找不到時,才會轉而前往 App 的官網下載。
從用户角度來説,iOS 支持側載功能,也是将選擇權交還給用户的一種體現,讓用户做選擇而不是代替用户做選擇,Apple 或許逐漸轉向另一條道路。在我看來,這條道路的未來并不固定,對于 Apple 生态的發展是好是壞,一切都要看 Apple 将會如何處理側載與 App Store 之間的關系。
當然,對于 Apple 來説,側載功能必定會影響他們的營收,畢竟看不慣 Apple 的 30% 應用税且擁有一批忠實粉絲的 App 并不少。
站在 Apple 角度,自然也不是沒有任何反制措施,退出 App Store 體系選擇側載,意味着 App 将徹底失去在 App Store 被推廣的權利,而 App Store 在可預見的未來都依然會是 iPhone 用户最大的下載平台,承載着 iOS 生态的大多數流量,失去了 App Store 的推廣,大多數 App 都可能面臨下載量下降、用户數下降等問題。
但對作為用户的我們來説,這些問題其實都無關緊要,無論嚴格限制還是開放側載入,誰能保證用户的信息安全,用户自然會用腳投票。