日前,一則22萬iCloud賬戶被盜的新聞引爆互聯(lián)網(wǎng),由于蘋果的認證機制,iCloud賬戶并不是簡單的虛擬賬戶,而直接關(guān)系到用戶的財產(chǎn)安全,所以這個消息一公布就引發(fā)整個互聯(lián)網(wǎng)的關(guān)注。
通常,人們都認為蘋果的安全體系相對比較完善,人們也認為使用蘋果手機,使用蘋果的服務(wù)比較安全,那么這22萬個iCloud賬戶是如何被盜的?我們的互聯(lián)網(wǎng)為何如此不安全,連蘋果都逃不過呢?
一、iCloud賬戶被盜的全過程
這次iCloud賬戶被盜的起因是今年 7 月不少用戶發(fā)現(xiàn)的未經(jīng)授權(quán)的 iOS 應(yīng)用在自己的設(shè)備異常,隨即威鋒技術(shù)組的成員對問題進行調(diào)查。
在調(diào)查過程中,技術(shù)組發(fā)現(xiàn)了這款惡意軟件,他們將之命名為“KeyRaider”,KeyRaider 瞄準的是越獄的 iOS 設(shè)備,它隱藏在各種插件中引誘用戶下載。這些插件提供了很多誘人的功能,包括讓用戶免費從 App Store 下載應(yīng)用,免費購買應(yīng)用內(nèi)購內(nèi)容,游戲作弊、系統(tǒng)更改和去應(yīng)用廣告等等。
而用戶一旦下載使用了這些插件,惡意軟件就可以通過 Mobile Substrate 來注入系統(tǒng),并通過攔截 iTunes 流量從而竊取蘋果賬號、密碼和設(shè)備的 GUID,同時本地禁用任何類型的解鎖操作。
這些用戶信息會通過HTTP上傳到服務(wù)器的數(shù)據(jù)庫保存下來,安全人員在跟蹤這個服務(wù)器的時候,發(fā)現(xiàn)這個服務(wù)器的數(shù)據(jù)庫本身還有漏洞,于是利用漏洞查看了服務(wù)器中的數(shù)據(jù)庫,結(jié)果發(fā)現(xiàn)了225941 個被盜的 Apple ID 用戶名、密碼和設(shè)備的 GUID 組合。
而所謂的用戶免費從 App Store 下載應(yīng)用,免費購買應(yīng)用內(nèi)購內(nèi)容,不過是盜用了這些被盜的Apple ID用戶名、密碼來實現(xiàn)。所以一些被害者用戶的蘋果賬戶顯示了異常的APP購買信息。
因為賬號密碼泄露,一些用戶甚至手機被鎖并被勒索錢財(拜蘋果的特有安全機制所賜)。
通過對散播惡意程序的追查,技術(shù)組發(fā)現(xiàn)了兩個網(wǎng)絡(luò)id高度可疑,他們散播了大量包含KeyRaider的應(yīng)用和插件吸引下載傳播,由于互聯(lián)網(wǎng)的特性,目前這些包含惡意程序的插件和應(yīng)用已經(jīng)傳播到了18個國家,并且會繼續(xù)傳播。
二、事關(guān)經(jīng)濟利益的泄露
互聯(lián)網(wǎng)信息泄露這些年我們已經(jīng)見過不少,但是由于蘋果設(shè)備的特殊性,這次信息泄露直接關(guān)系到用戶的經(jīng)濟利益。
首先,這些賬戶可以直接從 App Store 購買付費應(yīng)用,這些支出是由“受害人”承擔(dān)的。如果是其他人購買付費應(yīng)用,那么受害者就會替人買單。而更糟的一種可能是獲得密碼的人與付費應(yīng)用開發(fā)者合作,直接讓“受害者”購買付費應(yīng)用,然后與開發(fā)者分賬,這與盜竊無異。
而即使不購買付費應(yīng)用,只購買免費應(yīng)用。這些被盜的信息可以用于幫助應(yīng)用提升在APP排行榜的位置,俗稱刷單,而刷單行為本身就可以從APP開發(fā)者哪里獲取推廣費。
與普通竊取密碼的惡意程序不同,這次KeyRaider在本地禁用任何類型的解鎖操作,無論你是否輸入正確的密碼,竊取者都可以遠程鎖定你的手機,進行勒索,直到你付錢才幫你解鎖。這已經(jīng)赤裸裸的敲詐勒索罪了。
此外,竊取者還能獲取你儲存在云端的隱私,甚至通過掌握的密碼對你進行社會工程學(xué)破解,獲取你淘寶、網(wǎng)銀這類更重要的密碼,進行犯罪。總之,這次泄露的信息是非常危險的,它直接關(guān)系到被泄露者的經(jīng)濟利益,而不是簡單的網(wǎng)絡(luò)id問題。
三、個人安全觀念缺失和監(jiān)管缺位
從這次泄露的過程看,蘋果公司似乎并沒有太大責(zé)任。雖然蘋果公司提供了收費APP的購買,但是蘋果本身是不允許用戶越獄,也不允許用戶其他來源的應(yīng)用和插件。這次被泄露隱私的用戶,都是自己越獄,自己出于需要安裝插件的。而絕大多數(shù)用戶不是安全專家,并沒有能力判斷自己從其他途徑獲得的應(yīng)用和插件是否安全。
蘋果公司本來提供了安全方案,但是用戶自己選擇繞開,但是又沒有能力確認是否安全。個人安全觀念的缺失是造成的這次大規(guī)模泄漏的主因。
而另外一方面,目前對互聯(lián)網(wǎng)安全監(jiān)管的缺位也是重要原因。從KeyRaider的功能看,一方面可以盜取用戶的賬號密碼直接購買付費應(yīng)用,另外一方面可以鎖定用戶手機進行勒索。無論購買和勒索行為只要發(fā)生,竊取密碼者可以被列為從犯。應(yīng)該受到法律的嚴懲。
而在現(xiàn)實中,20多萬密碼被盜的受害人卻沒有聽說過誰去報案,而且就是報案,警方是否受理也是問題。就是說,網(wǎng)絡(luò)上通過盜取密碼可以帶來豐厚的收益,而這種行為卻是法律打擊的死角。在網(wǎng)絡(luò)上進行各種攻擊,可以獲取無成本的高額收益。
其實,類似的行為有很多,通過飽和攻擊癱瘓競爭對手網(wǎng)站,收取費用。盜取網(wǎng)站的信息傳播出售,盜取網(wǎng)絡(luò)游戲賬號出售裝備,牟取暴利,竊取個人信息出售給黑客或者犯罪份子,用戶破解和詐騙…….。
現(xiàn)在互聯(lián)網(wǎng)安全問題嚴重,并不是技術(shù)問題,而是可以獲取暴利的犯罪行為沒有有效的制裁途徑,甚至沒有合適的適用法律。
目前,刑法僅僅對侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的,有相應(yīng)刑罰。而絕大多數(shù)入侵或者攻擊行為并不能列到里面去,而偏偏這種法外之地利益豐厚。出于趨利避害的本性必然會有越來越多的人去做這方面的“生意”。
所以監(jiān)管缺位才是互聯(lián)網(wǎng)安全問題嚴重的主要原因。在這個現(xiàn)狀改變之前,我們只能加強自己的安全意識自求多福。