App Store 城堡被攻破，iPhone 也有釣魚應(yīng)用了嗎？

自 2008 年 Apple 在 iPhone OS 2.0.1 中推出 App Store 以來，關(guān)于 App Store 過于封閉的聲討就從未停歇。不同于可以自由安裝第三方軟件的 macOS，iPhone 用戶想運行非 App Store 應(yīng)用的方式極為有限：要么自己簽名部署、要么使用專門的企業(yè)工具進行 App 分發(fā)。

對于這種近乎「壟斷」的 App 分發(fā)策略，不同用戶有不同的看法，有的人認(rèn)為這是 Apple 限制用戶選擇的手段，也有人認(rèn)為這是維護 iOS 生態(tài)秩序的代價——不開放 App Store 意味著每一款 App 都必須經(jīng)過 Apple 的審查，這也是某些熱愛搜集用戶數(shù)據(jù)的流氓互聯(lián)網(wǎng)巨頭在 iOS 上表現(xiàn)異常「溫順」原因。

(資料圖片)

圖片來源：Apple

但如果 Apple「嚴(yán)格」地審核下有漏網(wǎng)之魚呢？比如上個月就有網(wǎng)友在 V2EX 上分享家人被 App Store 中的惡意應(yīng)用盜號，導(dǎo)致財產(chǎn)損失的案例。

圖片來源：V2EX

根據(jù)原帖分享，當(dāng)事人在 App Store 上下載了名為「菜譜大全」的 App，并會選擇使用 Apple ID 登錄。隨后 App 發(fā)起了一個偽裝成 Apple 驗證的彈窗，要求當(dāng)事人輸入 Apple ID 密碼。第二天凌晨，當(dāng)事人發(fā)現(xiàn) iPhone 被抹掉資料，并在重新配置手機的過程中收到了銀行的支付通知短信，這才發(fā)現(xiàn) Apple ID 被不法分子盜用、盜刷。

經(jīng)過后續(xù)分析，該 App 釣魚攻擊鏈路被大致探明：

除了常見的手機號、微信登錄外，這款「菜譜大全」還提供了「Apple ID 登錄」的選項，這一功能在 iOS 13 中首次出現(xiàn)，允許用戶在 Face ID 或 Touch ID 驗證后直接通過 Apple ID 創(chuàng)建新用戶，不再需要另外輸入郵箱、設(shè)置密碼、接收驗證碼。使用這一功能是，Apple 會詢問用戶用哪個郵箱進行注冊：

用戶可以用 Apple ID 綁定的正式郵箱地址，或由 Apple 生成的一次性轉(zhuǎn)發(fā)地址進行登錄。前者會向 App 開發(fā)者提交 Apple ID 的真實郵箱地址，后者則提交隨機生成的虛擬地址，并通過 Apple 的服務(wù)器進行郵件轉(zhuǎn)發(fā)，從而向 App 開發(fā)者隱藏真實郵箱，從而保護用戶數(shù)據(jù)。

這里當(dāng)事人選擇了使用 Apple ID 登錄，因此不法分子獲得了用戶的真實郵箱。

隨后，不法分子向用戶發(fā)起了一個名為「AppLeID」的彈窗，誘導(dǎo)用戶輸入 Apple ID 密碼。理論上這種直接要求用戶輸入密碼的行為應(yīng)該喚醒用戶的警覺，但由于 Apple「謎一樣」的安全策略，在下載 App 時要求輸入 Apple ID 密碼的現(xiàn)象非常常見，甚至有些時候連更新 App 都需要輸入 Apple ID 密碼，所以當(dāng)事人并未察覺到異常，直接一明文將密碼發(fā)給了不法分子。

此時用戶已經(jīng)將賬戶郵箱和密碼一起發(fā)給了不法分子，擋在不法分子面前的就只剩下 Apple 的二步驗證，也就是大家平時常見的一次性驗證碼驗證了。但在這里，不法分子使用了一個小手段：為了不頻繁打斷用戶操作，二步驗證一般只在第一次使用陌生設(shè)備時用到。

而當(dāng)事人的手機自然不屬于陌生設(shè)備，當(dāng)用戶在 App 中使用 Apple 登錄后，App 就可以在后臺訪問 iCloud，并利用剛剛騙來的 Apple ID 密碼將不法分子的手機號添加到當(dāng)事人 Apple ID 的安全手機號當(dāng)中。完成后，即使不法分子需要使用輸入二步驗證的驗證碼，也可以直接用自己的手機號請求驗證，無須攻破 iOS 的沙盒讀取用戶短信。

圖片來源：雷科技

到這里，不法分子已經(jīng)獲取了用戶賬戶郵箱、密碼和二步驗證的驗證碼了，之后只需要在 iCloud 中將自己的小號添加為家庭組并開通家庭組支付，就可以開始盜刷當(dāng)事人所綁定的微信免密支付了。盜刷完成后，不法分子只需要通過 iCloud 抹掉當(dāng)事人的手機，就可以消除當(dāng)事人手機中的所有短信記錄，悄無聲息地完成盜刷了。

幸運的是，用戶在第一時間就發(fā)現(xiàn)了手機被遠程抹掉，銀行的扣款短信并未遠程刪除，這才為當(dāng)事人留下了反應(yīng)的時間。如果短信被成功抹掉，當(dāng)事人很可能根本不知道自己的 Apple ID 被遠程盜刷。

可能有人會覺得此次事件中當(dāng)事人在陌生彈窗中輸入 Apple ID 密碼的行為很「笨」，甚至?xí)υ挳?dāng)事人連「AppLeID」這么明顯的釣魚彈窗都深信不疑，但實際上被釣魚窗口欺騙只不過是整個盜刷過程中最微不足道的錯誤。

沒錯，「AppLeID」確實屬于「藝高人膽大」的詐騙標(biāo)題，但如果不法分子打的是「AppIe ID」「App1e ID」甚至是用西里爾字母拼寫出來的「Арр l е ID」呢？大家又能分得出「Арр l е ID」和「Apple ID」之間的區(qū)別嗎？

在我看來，除了用釣魚手段盜取用戶資料的不法分子外，Apple 也需要對此負(fù)責(zé)。不同于開放的 Android 應(yīng)用生態(tài)，iOS 作為 Apple 生態(tài)中的最重要的組成部分，有著極為嚴(yán)格的 App 分發(fā)限制。甚至在 Apple 的平臺安全保護頁面就寫道：

與其他移動平臺不同，iOS 和 iPadOS 不允許用戶安裝來自網(wǎng)站的潛在惡意未簽名 App 或者運行不受信任的 App。運行時，所有可執(zhí)行內(nèi)存頁會在載入時進行代碼簽名檢查，以幫助確保 App 自安裝或上次更新之后未被修改過。

換句話說，iOS 用戶之所以愿意只從 App Store 中下載軟件，是因為 iOS 用戶以 App 安全作為代價，讓渡了一部分選擇的權(quán)利。而作為應(yīng)用審核的一部份，Apple 也理應(yīng)發(fā)現(xiàn)這種打著「AppLe」名號的釣魚行為，別忘了 Apple 對 App 熱更新可是有嚴(yán)格管控的。如果 Apple 的審核無法有效過濾惡意釣魚應(yīng)用，那還不如直接開放應(yīng)用側(cè)載，讓用戶自己為自己的信息安全負(fù)責(zé)。

早在 2022 年，我們就討論過 Apple 是否會開放側(cè)載功能，彼時的意見主要分為兩派，一派認(rèn)為 Apple 會在外部的壓力下，開放側(cè)載支持，另一派則認(rèn)為 Apple 會頂住壓力，繼續(xù)維持自己的封閉生態(tài)。

支持側(cè)載的一方認(rèn)為，在最高 20% 的全球營收罰款和歐洲市場的威懾下，Apple 肯定會妥協(xié)的。而封閉方則認(rèn)為，Apple AppleCEO 庫克公開表示過 Apple 不會支持側(cè)載，側(cè)載會對 Apple 生態(tài)的安全造成嚴(yán)重影響。

記者 Mark Gurman 聲稱自己得到了內(nèi)部消息，Apple 將會在 iOS 17 中首次允許 iPhone 用戶下載 App Store 以外的應(yīng)用程序并安裝。

當(dāng)然，目前并不清楚是允許用戶任意下載，還是需要通過 Apple 認(rèn)證的第三方渠道下載，但是從實際的結(jié)果來看，Apple 開放側(cè)載功能應(yīng)該已經(jīng)是板上釘釘?shù)氖虑椋辽僭跉W洲市場 Apple 肯定會開放該功能。

在這條新聞下面，不少網(wǎng)友都疑惑 Apple 為何會屈服，難道 Apple 真的愿意將經(jīng)營多年的封閉式生態(tài)親手毀掉？同時還有不少網(wǎng)友直言：「支持側(cè)載的 iOS 和安卓有什么區(qū)別，以后看看誰還買 Apple」。

在我看來，Apple 的多數(shù)用戶其實都可以歸類為「傳統(tǒng)用戶」的行列，他們不會折騰系統(tǒng)的各種配置、不會費盡心思對比手機的各項參數(shù)，他們對于手機的唯一要求就是「流暢」與「好用」。

對于多數(shù)用戶而言，App Store 依然是他們最好的選擇，不需要擔(dān)心 App 被植入惡意代碼，不需要擔(dān)心 App 被捆綁一些不知名軟件。即使在一向以開放著稱的安卓手機中，也有不少用戶選擇只從應(yīng)用商店下載 App，只有在應(yīng)用商店實在找不到時，才會轉(zhuǎn)而前往 App 的官網(wǎng)下載。

從用戶角度來說，iOS 支持側(cè)載功能，也是將選擇權(quán)交還給用戶的一種體現(xiàn)，讓用戶做選擇而不是代替用戶做選擇，Apple 或許逐漸轉(zhuǎn)向另一條道路。在我看來，這條道路的未來并不固定，對于 Apple 生態(tài)的發(fā)展是好是壞，一切都要看 Apple 將會如何處理側(cè)載與 App Store 之間的關(guān)系。

當(dāng)然，對于 Apple 來說，側(cè)載功能必定會影響他們的營收，畢竟看不慣 Apple 的 30% 應(yīng)用稅且擁有一批忠實粉絲的 App 并不少。

站在 Apple 角度，自然也不是沒有任何反制措施，退出 App Store 體系選擇側(cè)載，意味著 App 將徹底失去在 App Store 被推廣的權(quán)利，而 App Store 在可預(yù)見的未來都依然會是 iPhone 用戶最大的下載平臺，承載著 iOS 生態(tài)的大多數(shù)流量，失去了 App Store 的推廣，大多數(shù) App 都可能面臨下載量下降、用戶數(shù)下降等問題。

但對作為用戶的我們來說，這些問題其實都無關(guān)緊要，無論嚴(yán)格限制還是開放側(cè)載入，誰能保證用戶的信息安全，用戶自然會用腳投票。