大量iPhone使用者ID被盜刷,iOS安全“神話”逐漸幻滅
文/IT烽火臺
自蘋果推出iPhone手機起,智慧手機領域不論是廠商還是使用者都認同一個“真理”,那就是iOS系統因生態鏈完全封閉的特點,相較於安卓等智慧作業系統的終端手機產品,其在安全性方面擁有無與倫比的優勢。
iPhone確實也不負眾望,近些年來移動網際網路安全形勢日趨嚴峻,但安卓等其他智慧作業系統上頻發的安全問題似乎跟蘋果產品無緣,特別是不斷迭代的iPhone產品在增加了指紋和臉紋解鎖方式之後,種種利好也讓iOS更安全的理念進一步“神化”。
然而,相較於被“神化”了的iOS系統,在“道高一尺,魔高一丈”的網際網路上沒有絕對的安全才是真正的鐵律。隨著近日大量iPhone使用者ID被盜刷,iOS安全“神話”也逐漸幻滅。
10月10日凌晨,遼寧一位蘋果手機使用者的ID被盜刷,莫名損失了6083元。而這並不是個案,最近一段時間,類似情況頻繁發生在全國各地的蘋果手機使用者身上。
據受損使用者透露,目前大量的受害者建了QQ群,幾個群人數已超幾千人,普遍是從十10月初起開始被盜刷的受害者。在QQ群裡,有受損使用者表示自己被盜刷的1500塊錢,蘋果方面已經將錢退回了原有賬號。而更多的蘋果手機使用者在群裡表示,蘋果客服說系統稽核通過不了,選擇繼續打蘋果電話、消協電話進行維權。
如此大規模的安全問題爆發,在蘋果產品史上似乎並不多見。
目前,蘋果手機提供的付款方式包括支付寶、微信支付、銀行卡、快捷支付等。而支付寶的免密支付是指,在特定場景下,在預設額度內,使用支付寶付款每筆付款無需輸入密碼,即可完成交易。
獵豹移動安全專家表示,被盜刷的原因有兩個條件:一是蘋果ID沒有開通雙重驗證,致使賬號被盜;二是受害使用者簽約過免密自動扣款協議,不管簽約的是支付寶、銀行卡,還是微信支付。
而在安全專家看來,除非破案,否則消費者很難得到賠償。免密支付雖然方便,但一次授權同意後,就持續生效,還是有風險的。建議使用者應該立刻開通App ID的雙重驗證保護,防止賬號再次被盜;立刻關閉App Store使用免密支付,不管這個免密支付關聯的是銀行卡、微信,還是支付寶。“可能有大規模撞庫、洗號攻擊出現。而簽約免密自動扣款協議是跟App ID繫結的,就算換了裝置登入,繫結關係依然有效,因此資金可能被盜刷。尤其是遊戲充值渠道,歷來都是黑產最愛的洗錢渠道。”
對此,支付寶方面公開宣告:目前已經多次聯絡蘋果公司並推動其儘快定位被盜原因,提升安全防範水平,並徹底解決使用者權益損失的問題,蘋果公司回覆已經在積極解決。
此外,支付寶方面建議使用者,在確保方便的前提下調低蘋果支付的免密支付額度,以最大限度保護支付寶賬戶的資金安全。如使用者發現蘋果支付賬戶出現問題,支付寶建議使用者聯絡蘋果公司官方客服。
目前來看,支付平臺的免密支付似乎是造成此次蘋果使用者ID被盜刷的主因,但蘋果就沒有責任嗎?目前Apple ID捆綁一個免密支付的模式,其從設計起就有問題,使用者短時間內突然出現了多起異常交易,或是異常的裝置登入,有沒有可能被盜刷或是被盜用了?作為公認最安全的移動作業系統,蘋果應該有預警機制,應該及時通知使用者。
需要注意的是,大量蘋果使用者ID被盜刷並非近期科技巨頭使用者資料洩露的孤例,其他科技巨頭也頻頻被曝使用者資料被盜。近日,Facebook資料再次遭到黑客入侵,有5000萬賬戶資訊遭到洩露;谷歌今年春季內部調查發現Google+可能導致幾十萬使用者私人資料的軟體漏洞便對公眾隱瞞......