iPhone惊爆大漏洞 所有用户都可能被敲诈

　　帕洛阿尔托网络研究员克劳德-萧(Claud Xiao)在旧金山举办的BSides SF黑客大会上指出，当前正在形成一个巨大、猖獗的涉及盗窃、销售、制造和滥用苹果ID的地下市场。

　　据福克斯新闻报道，萧在大会上用幻灯片显示了同一个苹果ID涉及的20种不同的苹果服务，包括App Store、苹果音乐、苹果在线商店、iCloud、查找我的iPhone、iMessage和Mac应用商店等。他表示，目前一个苹果ID应用的服务过多，而每一项服务功能都可能被盗取滥用，以赚取利润。

　　他解释称，苹果ID可被利用来从苹果系统的每一项服务中榨取钱财，比如使用垃圾苹果消息 (Apple Messages)欺骗用户，或锁住用户手机以勒索赎金等。这里有一个重要提示：一些苹果ID的盗窃和滥用其实是可以通过用户实施苹果公司提供的双因素认证加以阻止的。

　　在骗局中最简单的是，窃贼盗取他人苹果ID并通过重置密码等手段来锁住合法用户的手机，然后索取100美元左右的赎金，而在支付赎金前，该用户的手机将无法正常使用。萧表示，有很多方法来窃取苹果ID，比如采用看起来好像来自苹果公司的网络钓鱼电子邮件，要求用户通过点击消息中的链接来验证他的帐户。还有就是通过短信进行网络钓鱼诈骗，一般会要求用户需要确认您的Apple ID，并点击所谓的苹果链接网站，如mysecureicloud.com或support-appleid.com等。

　　诈骗者还会假装是苹果公司的雇员致电给用户，要求用户回答标准的安全问题，然后发送给用户到一个钓鱼网站，并试图窃取该用户的密码。

　　萧还表示，一些恶意软件也在试图窃取苹果ID。他还列举了三种在过去两年里窃取大量苹果ID的iOS恶意软件。由于大量用户都在很多网上帐户上使用密码和电子邮件地址，因此任何大规模针对大型在线服务商帐户的黑客攻击，都会导致数百乃至数千万用户信息，其中包括苹果ID被盗取。一些犯罪分子甚至不去偷苹果ID，而是制作数百或数千的新苹果ID，然后将其销售至非法黑市。

　　他还指出，还有一些盗窃者会使用偷来的苹果ID为虚假购买写假好评，人为地提高App Store中一些应用程序的评分星级，如果花1.6万美元，他们可以将应用程序推到苹果App Store前十名，因此，很多用户都会在应用购买中遇到物非所值的情况。

　　他还举例，一款假冒的防病毒应用程序居然被列为苹果App Store销售的第三名，这款将防毒软件名为“after a well-known Norse god”，尽管苹果公司已表示将删除这一程序，但目前该程序似乎仍在苹果App Store上。

　　如果您感兴趣，可在GitHub观赏萧的幻灯片演讲实录。