自苹果推出iPhone手机起,智能手机领域不论是厂商还是用户都认同一个“真理”,那就是iOS系统因生态链完全封闭的特点,相较于安卓等智能操作系统的终端手机产品,其在安全性方面拥有无与伦比的优势。
iPhone确实也不负众望,近些年来移动互联网安全形势日趋严峻,但安卓等其他智能操作系统上频发的安全问题似乎跟苹果产品无缘,特别是不断迭代的iPhone产品在增加了指纹和脸纹解锁方式之后,种种利好也让iOS更安全的理念进一步“神化”。
然而,相较于被“神化”了的iOS系统,在“道高一尺,魔高一丈”的互联网上没有绝对的安全才是真正的铁律。随着近日大量iPhone用户ID被盗刷,iOS安全“神话”也逐渐幻灭。
10月10日凌晨,辽宁一位苹果手机用户的ID被盗刷,莫名损失了6083元。而这并不是个案,最近一段时间,类似情况频繁发生在全国各地的苹果手机用户身上。不少用户在网络上反映在自己不知情的状况下,自己的苹果ID购买了多项App Store内容,有的损失几百元,有的损失数千元,有的甚至上万。
随后,支付宝官方向苹果手机用户发出安全提醒称,监测到部分苹果用户的ID出现被盗。
据受损用户透露,目前大量的受害者建了QQ群,几个群人数已超几千人,普遍是从10月初起开始被盗刷的受害者。在QQ群里,有受损用户表示自己被盗刷的1500块钱,苹果方面已经将钱退回了原有账号。而更多的苹果手机用户在群里表示,苹果客服说系统审核通过不了,选择继续打苹果电话、消协电话进行维权。
如此大规模的安全问题爆发,在苹果产品史上似乎并不多见。
目前,苹果手机提供的付款方式包括支付宝、微信支付、银行卡、快捷支付等。而支付宝的免密支付是指,在特定场景下,在预设额度内,使用支付宝付款每笔付款无需输入密码,即可完成交易。
猎豹移动安全专家表示,被盗刷的原因有两个条件:一是苹果ID没有开通双重验证,致使账号被盗;二是受害用户签约过免密自动扣款协议,不管签约的是支付宝、银行卡,还是微信支付。
而在安全专家看来,除非破案,否则消费者很难得到赔偿。免密支付虽然方便,但一次授权同意后,就持续生效,还是有风险的。建议用户应该立刻开通App ID的双重验证保护,防止账号再次被盗;立刻关闭App Store使用免密支付,不管这个免密支付关联的是银行卡、微信,还是支付宝。“可能有大规模撞库、洗号攻击出现。而签约免密自动扣款协议是跟App ID绑定的,就算换了设备登录,绑定关系依然有效,因此资金可能被盗刷。尤其是游戏充值渠道,历来都是黑产最爱的洗钱渠道。”
对此,支付宝方面公开声明:目前已经多次联系苹果公司并推动其尽快定位被盗原因,提升安全防范水平,并彻底解决用户权益损失的问题,苹果公司回复已经在积极解决。
此外,支付宝方面建议用户,在确保方便的前提下调低苹果支付的免密支付额度,以最大限度保护支付宝账户的资金安全。如用户发现苹果支付账户出现问题,支付宝建议用户联系苹果公司官方客服。
目前来看,支付平台的免密支付似乎是造成此次苹果用户ID被盗刷的主因,但苹果就没有责任吗?目前Apple ID捆绑一个免密支付的模式,其从设计起就有问题,用户短时间内突然出现了多起异常交易,或是异常的设备登录,有没有可能被盗刷或是被盗用了?作为公认最安全的移动操作系统,苹果应该有预警机制,应该及时通知用户。
需要注意的是,大量苹果用户ID被盗刷并非近期科技巨头用户数据泄露的孤例,其他科技巨头也频频被曝用户数据被盗。近日,Facebook数据再次遭到黑客入侵,有5000万账户信息遭到泄露。黑客可看到账户的全部个人资料,包括家人、朋友的身份信息以及个人隐私照片等;谷歌今年春季内部调查发现Google+可能导致几十万用户私人数据的软件漏洞,随后对公众隐瞒此事。谷歌母公司Alphabet宣布一系列用户隐私保护政策,其中包括10个月内逐步关闭消费者版本的Google+。
在移动互联网领域,所谓的安全都是相对,用户不应过于迷信某些产品的安全能力,对于自己的个人信息安全还是应做到“警钟常鸣”。