《App Store城堡被攻破，苹果钓鱼应用让人防不胜防》

App Store城堡被攻破，苹果钓鱼应用让人防不胜防

自2008年Apple在iPhone OS 2.0.1中推出App Store以来，关于App Store过于封闭的声讨就从(💃)未停歇。不同于可以自由安装第三方软件的macOS，iPhone用(🛣)户想运行非App Store应用的方式极为有限：要么自(🎳)己签名部署、要么使用专门(🕒)的企业工具进行App分发。

对于这种近乎「垄断」的App分发策略，不同用户有不同的(➗)看法，有的人(🖕)认为这是Apple限制用户选择的手段，也(🥒)有人认为这是维护iOS生态秩序的代价——不开放App Store意味着每一款App都必须经过Apple的审查，这也是某些热爱搜集(🐽)用户数据的流氓互联网巨头在iOS上表现异常「温顺(😆)」原因。

图片来源：Apple

但如果Apple「严格(🕢)」地审核下有(😇)漏网之鱼呢？比如上(🎀)个月就有网友在V2EX上分享家人被App Store中的恶意应用盗号，导致财产损失的案例(❌)。

图片来源：V2EX

根据原帖分(🕊)享，当事(💘)人在App Store上下载了名为「菜谱大全」的App，并会选择使用Apple ID登录。随后App发起了一个伪装成Apple验证的弹窗，要(😒)求当事人输入Apple ID密码。第二天凌晨，当事人发现iPhone被抹掉(🚪)资料，并在重新配置手机的过程(🛣)中收到了银行的支付通知短信，这才发现Apple ID被不(🥂)法分子盗用、盗刷。

经过后续分析，该App钓鱼攻击链路被大致探明：

除了常见的手机号、微信登录外，这款「菜谱大全」还提供了「Apple ID登录」的选项，这一功能在iOS 13中首次出现，允许用户在Face ID或Touch ID验证后直接通过Apple ID创建新用户，不(🎼)再需要另外输入邮箱、设置密码(🍺)、接收验证(🥁)码。使用这一功能是，Apple会询问用户用哪个邮箱进行注册：

用户可以用Apple ID绑定的正式邮箱地址(🤡)，或由Apple生(🥡)成的(⭐)一次性(😩)转发地(😃)址进行登录。前者会向App开发者提交Apple ID的真实邮箱地址，后者则提交随机(🐂)生成的虚拟地址(🐌)，并通过Apple的服务器(👩)进行邮件转发，从而向App开发者隐藏真(♊)实邮箱，从而保护用户数据。

图片来源：Apple

这里当事人(🀄)选择(🔫)了使用Apple ID登录，因此不法分子获得了用户的真实邮箱。

随后，不法分子向用户发起了一个名为「AppLeID」的弹窗，诱导用户输入Apple ID密码。理论上这种直接要求用户输入(🧖)密码的行为应该唤醒用(⛸)户的警觉，但由于Apple「谜一样」的安全策略，在下载App时要求输入Apple ID密码的现象非常常见，甚至有些时(🦂)候连更新App都需要输入Apple ID密码，所以当事人并未(🔔)察(🦕)觉(🍡)到(👕)异常，直接一(💣)明文将密码发给了不法分子。

此时用户已经将(👏)账户邮箱和(⬛)密码一起发给了不法分子，挡在不法分子面前(😕)的就只(🧠)剩下Apple的二步验证，也就是大家平时常见的一次性验证码验证了。但在这里，不法分子使用了一个小手段：为了不频繁打断用户操(🉐)作，二步验证一般只在第(📸)一次使用陌生设备时用到。

而当事人的手机自然不属于陌生设备，当(🙀)用户在(🕝)App中使(🎱)用Apple登录后，App就可以在后台访(😙)问iCloud，并利用刚刚骗来的Apple ID密码将不法分子的手机号添加到当事人Apple ID的安全手机号当中。完成后，即使不法分子需要使用输入二步验证的验(🔯)证码，也可以直接用自(🍾)己的手机号请求验证，无须攻破iOS的沙盒读取用户短信(📲)。

图片来(🥟)源(💤)：雷科技

到这里，不(🌋)法分子已经获取了用户账户(🎛)邮箱、密码和二步验证的验证码了，之后只需要在iCloud中将自己(👖)的小号(🌷)添加为家庭组并开通家庭组支付，就可以开始盗刷当事人所绑定的微信免密支付了。盗刷完成后，不法分子(🕵)只需要通过iCloud抹掉当事人的手机，就可以消除当事人手机中的所有短信记录，悄无声息地完成盗刷了。

幸运的是，用户在第一时间就发现了手机被远程抹掉，银行的扣款短信并未远程删除，这才为当事人留下(🗓)了反应的时间。如果短信被成功抹掉，当事人很(🐸)可能根本不知道自己的Apple ID被远程盗刷。

可能(🎗)有人(🚼)会觉得此次事件中当事人在陌生弹窗中输入Apple ID密码的行为很「(🛠)笨」，甚(🐿)至会笑话当事人连「(💽)AppLeID」这么明显的钓鱼弹窗都深信不疑，但实际上被钓鱼窗口欺骗只不过是整个盗刷过程中最微不足道的错误。

没错，「AppLeID」确实属于「(🚑)艺高人胆大」的诈骗(🚼)标题，但如果不法分子打的是「AppIe ID」「App1e ID」甚至是用西里尔字母拼写出(🔞)来的「Арр(🌑)lе ID」呢？大(🏘)家又能分得出「Аррlе ID」和「Apple ID」之间的区别吗？

在我看来，除了用钓鱼手段盗取用户资料的不法分子外(🎗)，Apple也需要对此负责。不同于开放的Android应用生态，iOS作为Apple生态中的最重要的组成部分，有着(🛀)极为严格的App分发限制。甚至在Apple的平台(🗣)安全保护页面就写(🐟)道：

与其他移(🎒)动平台不同(🀄)，iOS 和 iPadOS 不允(🚤)许用户安装来自网站的潜在恶意未签名 App 或者运行不受信任的 App。运行时，所有可执行内(🏏)存页会在载入时进行代码签名检查，以帮助确保(💥) App 自安装或上次更新之后未被修改过。

换句话说，iOS用户之所以愿意只从App Store中(🤙)下载软件，是因为iOS用户以App安全作为代价，让渡了一部分选择的权利。而作为应用(💥)审核的一部份，Apple也理(🆘)应发现这种打着「AppLe」名(🦕)号的钓鱼行为，别忘了Apple对App热更新可是有严格管控的。如果Apple的审核无法有效过滤恶意钓鱼应用，那还不如直接开放应用侧载，让用户自己为自己的(😺)信息安全负责。

早在2022年，我们(🧘)就讨(♍)论过Apple是否会开(🛡)放侧载功能，彼时的意见主要分为两派，一派认为Apple会在外部的压力下，开放侧载支持，另一派则认为Apple会顶住压力，继续维持自己(🏤)的(🥎)封闭生态。

支持侧载的(🏙)一方认为，在最高20%的全球营收罚款和欧洲市场(🚇)的威慑下，Apple肯定会妥协的。而封闭方则认为，Apple AppleCEO库(🉑)克公开表示过Apple不会支持(😗)侧载，侧载会对Apple生态的安全造成(🕌)严重影响。

彭博社记者Mark Gurman声称自己得到了内部消息，Apple将会在iOS 17中首次允许iPhone用户下(🎎)载App Store以外的应(🐏)用程序并安装。

当然，目前并不清楚(👯)是允许用户任意下载，还是需要通过Apple认证的第三方渠道下载，但(🏁)是从实际的结果来看，Apple开放侧载(💫)功(🤬)能应该已经是板上钉钉的事情，至少在欧洲市场Apple肯定会开放该功能。

在(🔙)这条新闻下面，不少网友都疑惑Apple为何(🏾)会屈服，难道Apple真的愿意将经营多年的封闭式生态亲手毁掉？同时还有不少网友直言：「支持侧载的iOS和(🌧)安卓有什么区别，以后看看谁还买Apple」。

图片来源：(👗)Apple

在我看来，Apple的多数用户其实都可以归类为「传统用户」的行列，他们不会折腾系统的各种配置、不会费尽心思对比手机的各项参数，他们对于手机的唯一要求就是「流畅」与「好用」。

对于多数用户而言，App Store依然是他们最好的选择，不需要担心App被植入恶意代码，不需要担心App被捆绑一些不知名软件。即使在一向以开放著称的安卓手机中，也有不少用户(🏙)选(🔣)择只从应用商店下载App，只有在应用商店实在找不到时，才会转而前往App的官网下载。

从用户(🍗)角度来说，iOS支持(🧜)侧载功能，也是将选择权交还给用户的一种体现，让用户做选择而不是代替用(🧚)户做选择，Apple或许逐渐转向另一条道路。在我看来，这条道路的未来并不固定，对于Apple生态的(🏴)发展是好是坏，一切都要看(💝)Apple将会如何处理侧载与(💁)App Store之间的关系。

当然，对于Apple来说，侧载功能必定会(💳)影响他们的营收，毕竟看不惯Apple的30%应用税且拥有一批(🍙)忠实粉丝的App并(👣)不少。

图片来源：Apple

站在Apple角度，自然(😝)也不是没(🤱)有任何反制措施，退出App Store体系选择侧载，意味着App将彻底失去在App Store被推广的权利，而App Store在可预见的未来都依然会是iPhone用户最大的下载平台，承载着iOS生态的(🐙)大多(🕗)数流量，失去了App Store的推(💱)广，大多数App都可能面临下载量下降、用户数下降等问题。

但对作为用户的我(😓)们来(〽)说，这些问题其实都无关紧要，无论严格限制还是开放侧载入，谁能保证用户的信(🥈)息安(🍗)全，用户自然会用脚投票。

【奥丁手游官网下载的相关新闻】

• 更新至06集

  喧哗独学

  丹羽哲士,冈本信彦,菲鲁兹·蓝,石川由依,武内骏辅,石川界人,青山吉能,中村悠一,杉田智和

• 更新至20240502期小屋特辑

  音你而来

  潘玮柏,薛凯琪,张碧晨,武艺,张紫宁,王琳凯,高卿尘

• 更新至第20240503期

  半熟恋人第三季

  杜素娟,金靖,唐艺昕,谢楠,张纯烨,罗拉,王能能,凌忆,陈巧葳,苏锐,许莉,江俊霖,马晋隆,王震,邵佳荣

• 更新至07集

  一周的日记

  王奕,周诗雨

• 更新至18集

  天行健

  秦俊杰,刘宇宁,黄梦莹,庞瀚辰,傅菁,陈天明,陈思澈,黄昊月

• HD

  前途海量

  包贝尔,明道,韩云云,巴多,尹子维

• 更新至08集

  老家伙

  张国立 , 王刚 , 张铁林 , 周涛 , 张昊唯 , 孙安可 , 王自健 , 刘佳 , 毛毅 , 刘恩尚 , 高晓菲 , 曲高位 , 张博 , 于慧 , 尤浩然 , 王宸心

• 更新至17集

  另一种蓝

  宋茜,周渝民,刘敏涛,刘畅,朱颜曼滋,黄品沅,师悦玲,谢兴阳,胡宝森,刘潮,晏云璟,侯岩松,曹璐,曹磊,卜冠今,贾景晖,陈米麒

• 更新至05集

  庆余年第二季

  张若昀,李沁,陈道明,吴刚,田雨,李小冉,俞飞鸿,袁泉,毛晓彤,郭麒麟,宋轶,辛芷蕾,宁理,刘端端,张昊唯,付辛博,高曙光,赵柯,于洋,李强,刘桦,佟梦实,郭子凡,金晨,王楚然,高露,王晓晨,隋俊波,归亚蕾,余皑磊,毕彦君,罗二羊,吴幸键,宣言,王庆祥,徐志胜,崔志刚,傅迦,姚安濂,秦焰,沈晓海,王同辉,冯兵,常铖,王建国,刘宇桥,冯恩鹤,赵振廷,董可飞,李俊贤,崔鹏,贾景晖,王天辰,代文雯,王成阳,张弛,左凌峰,刘同,张维伊,东靖川,杨彤,孙亦沐,于小鸣,魏炳桦,李珞桉

• 更新至02集

  9号秘事第九季

  史蒂夫·佩姆伯顿,里斯·谢尔史密斯,希欧布罕·芬内朗,马克·博纳尔,苏珊·沃卡曼,乔尔·弗莱,菲利帕·邓恩,查理·库珀,娜塔莉·多默尔,马修·凯利,埃迪·马森,凯瑟琳·凯丽,雯叶特·罗宾逊,阿德里安·斯卡伯勒,海莉·斯奎尔斯,多萝西·阿特金森

• 更新至04集

  布里奇顿第三季

  妮可拉·考夫兰,卢克·牛顿,卢克·汤普森,西蒙娜·阿什利,乔纳森·贝利,菲比·黛内芙,朱莉·安德鲁斯,克劳迪亚·杰西,汉娜·多德,鲁丝·吉梅尔,弗洛伦斯·亨特,威尔·蒂尔斯顿,Choy-Ling Man

• 全集

  夜色将明

  内详