苹果账号频繁被黑客盗用，原来不仅是为盗刷竟还有刷榜

［事件起因］

最近一段时间很多朋友向老衲反馈，说自己的苹果账号被盗，竟还有人被盗刷卡，详细情况如下:

图1：账号被锁定，被盗

老衲本质一探究竟、为民除害的心里开始了漫漫征途的调查。第一步锁定受害群体范围，经百度大数据反馈，苹果账号被盗是常有发生的事，不过被爆出来的只是沧海一粟。很多苹果手机用户遇到账号被盗一般会按照苹果引导进行验证解锁，随着iOS 10发布，非帐号绑定手机进行支付时需要安全验证，这点可以极大规避盗刷现金危害。

图2：百度爆料盗号信息

第二步老衲分析了苹果账号可能被盗的原因。iPhone越狱曾经是很多手机玩家热衷的玩机方式之一，且越狱之后还能安装第三输入法。但是“刷机有风险，越狱需谨慎”这可是一个铁打的真理。

老衲还发现，国内一些iOS应用/插件开发团队竟然在悄悄的盗取越狱用户的iCloud账号与明文密码，并记录在远程服务器。第三方越狱工具也需要苹果用户提供账号与密码，这些数据都会被第三方市场记录的，其中市场流窜的苹果账号交易很可能来自第三方越狱工具。

最近频现账号被盗，很大一部分源自WIFI，一旦陌生WIFI链接，会引导你下载自带木马功能的应用壳，个人信息容易极大被泄漏。

据了解，去年有爆料超过22万iCloud账号密码等信息被多款内置后门iOS插件窃取（越狱iPhone手机真实窃密案例）。经验证，这些被盗的iCloud账号可以随意登录，各种邮件、照片等信息全部可泄露。

图3：账号批量被盗

Part 1：被盗账号用途！

窃取账号的目的，经老衲分析总结为三类：窃取隐私、锁机敲诈、用作自动刷榜。第三种也是被盗账号遇到最多的情况。

可能有同学又问了：想要 iCloud 账号，为什么不自己用机器申请，费那老劲来盗我的账号作甚？这就涉及到App Store榜单排名规则中对用户权重的考量了。水很深，有想进一步了解的效果可私聊老衲。

了解ASO原理的同学们都知道，一款App的下载、激活、留存等数据都会被App Store作为重要的排名依据，但他们没有注意到的是：不是所有的用户行为都具有相同的效力，App Store对Apple ID权重也有其考量，目前来说集中在以下几个方面：

① 是否绑卡/有付费记录：苹果对付费用户的友好度是很高的，App Store多次调整排名算法，付费用户的权重在不断被增加，相应的，没有付费行为的用户，权重逐渐降低。

② 用户行为：有完整下载、激活、卸载APP等行为的用户，能够被判定成真实用户，反之则不具备权重。

③ 注册时长：一个Apple ID的注册时长也会被App Store用于判断其真实性的标准之一，特别是在基本一App突然吸引大量低质量Apple ID下载时。⑤④ 首次下载：首次下载、激活该App的Apple ID是同一ID权重最大的时刻，以后的下载与卸载（更新除外），大多被视为无效。

正是基于以上种种严格的考核，部分没有真实用户的机构才会动起了“盗号”的歪脑筋，利用盗取的Apple ID+机器直接完成刷榜，看似简单有效，实则暗藏风险。

图4：知名安全平台乌云爆料

Part 2：用盗号刷榜：App面临下架风险

很多产品都有自己的非常用设备登录提示，App Store也不例外。一个Apple ID在不同的iOS设备上使用后，苹果会给账号对应的邮箱发一封邮件，大意是：“您的Apple ID在非常用设备上进行了登陆和下载，如果是您本人行为请忽略本邮件。”

用盗号刷某个App，苹果就会发送大量这样的邮件给被盗号用户，一部分用户会到APP评论里发泄、另外也有一部分会向苹果投诉。苹果如果持续接到这样的投诉，就有可能会给开发商发送警告信，甚至直接下架。

图5：某产品刷榜走势图

图6：某产品刷榜走势图

Part 3：被盗号的自检、预防与处理

针对被盗号问题频现，老衲特整理如下安全防范措施，希望能给各位小伙伴带来帮助。

① 查看Apple ID的购物记录的方式：在iTunes的App Store首页中点击左上角你的Apple ID，选择“账户”，点击进入购物记录后可以看到最近的购买记录和以前所有的购买记录，并且可以按月显示。

② 查看所有已购项目：在iTunes的App Store首页的右侧菜单中找到“已购项目”导航栏。找到下图所示的链接。

③ 如果你的Apple ID不幸中招，请立即更改Apple ID密码。你可以拨打苹果客服电话400-627-2273进行咨询和投诉，或向 iTunes 商店客服iTunesStoreSupport@apple.com写信说明情况。

④ 如果你的Apple ID尚未中招，恭喜你！也请保持这些好习惯：只通过iTunes管理你的设备，即使越狱也安装正常的源，不要随意安装插件，不要在第三方管理软件中输入你的Apple ID账号与密码。

目前，该漏洞已经交由第三方合作机构(cncert国家互联网应急中心)处理。

苹果账号被盗事件，老衲与小伙伴们会密切关注，有任何动态第一时间与小伙伴们同步。请切记，安全用机，不越狱，不随意连接莫名WIFI。