App Store 城堡被攻破，iPhone 也有釣魚應用了嗎？

自 2008 年 Apple 在 iPhone OS 2.0.1 中推出 App Store 以來，關于 App Store 過于封閉的聲討就從未停歇。不同于可以自由安裝第三方軟件的 macOS，iPhone 用戶想運行非 App Store 應用的方式極為有限：要么自己簽名部署、要么使用專門的企業工具進行 App 分發。

對于這種近乎「壟斷」的 App 分發策略，不同用戶有不同的看法，有的人認為這是 Apple 限制用戶選擇的手段，也有人認為這是維護 iOS 生態秩序的代價——不開放 App Store 意味著每一款 App 都必須經過 Apple 的審查，這也是某些熱愛搜集用戶數據的流氓互聯網巨頭在 iOS 上表現異常「溫順」原因。

(資料圖片)

圖片來源：Apple

但如果 Apple「嚴格」地審核下有漏網之魚呢？比如上個月就有網友在 V2EX 上分享家人被 App Store 中的惡意應用盜號，導致財產損失的案例。

圖片來源：V2EX

根據原帖分享，當事人在 App Store 上下載了名為「菜譜大全」的 App，并會選擇使用 Apple ID 登錄。隨后 App 發起了一個偽裝成 Apple 驗證的彈窗，要求當事人輸入 Apple ID 密碼。第二天凌晨，當事人發現 iPhone 被抹掉資料，并在重新配置手機的過程中收到了銀行的支付通知短信，這才發現 Apple ID 被不法分子盜用、盜刷。

經過后續分析，該 App 釣魚攻擊鏈路被大致探明：

除了常見的手機號、微信登錄外，這款「菜譜大全」還提供了「Apple ID 登錄」的選項，這一功能在 iOS 13 中首次出現，允許用戶在 Face ID 或 Touch ID 驗證后直接通過 Apple ID 創建新用戶，不再需要另外輸入郵箱、設置密碼、接收驗證碼。使用這一功能是，Apple 會詢問用戶用哪個郵箱進行注冊：

用戶可以用 Apple ID 綁定的正式郵箱地址，或由 Apple 生成的一次性轉發地址進行登錄。前者會向 App 開發者提交 Apple ID 的真實郵箱地址，后者則提交隨機生成的虛擬地址，并通過 Apple 的服務器進行郵件轉發，從而向 App 開發者隱藏真實郵箱，從而保護用戶數據。

這里當事人選擇了使用 Apple ID 登錄，因此不法分子獲得了用戶的真實郵箱。

隨后，不法分子向用戶發起了一個名為「AppLeID」的彈窗，誘導用戶輸入 Apple ID 密碼。理論上這種直接要求用戶輸入密碼的行為應該喚醒用戶的警覺，但由于 Apple「謎一樣」的安全策略，在下載 App 時要求輸入 Apple ID 密碼的現象非常常見，甚至有些時候連更新 App 都需要輸入 Apple ID 密碼，所以當事人并未察覺到異常，直接一明文將密碼發給了不法分子。

此時用戶已經將賬戶郵箱和密碼一起發給了不法分子，擋在不法分子面前的就只剩下 Apple 的二步驗證，也就是大家平時常見的一次性驗證碼驗證了。但在這里，不法分子使用了一個小手段：為了不頻繁打斷用戶操作，二步驗證一般只在第一次使用陌生設備時用到。

而當事人的手機自然不屬于陌生設備，當用戶在 App 中使用 Apple 登錄后，App 就可以在后臺訪問 iCloud，并利用剛剛騙來的 Apple ID 密碼將不法分子的手機號添加到當事人 Apple ID 的安全手機號當中。完成后，即使不法分子需要使用輸入二步驗證的驗證碼，也可以直接用自己的手機號請求驗證，無須攻破 iOS 的沙盒讀取用戶短信。

圖片來源：雷科技

到這里，不法分子已經獲取了用戶賬戶郵箱、密碼和二步驗證的驗證碼了，之后只需要在 iCloud 中將自己的小號添加為家庭組并開通家庭組支付，就可以開始盜刷當事人所綁定的微信免密支付了。盜刷完成后，不法分子只需要通過 iCloud 抹掉當事人的手機，就可以消除當事人手機中的所有短信記錄，悄無聲息地完成盜刷了。

幸運的是，用戶在第一時間就發現了手機被遠程抹掉，銀行的扣款短信并未遠程刪除，這才為當事人留下了反應的時間。如果短信被成功抹掉，當事人很可能根本不知道自己的 Apple ID 被遠程盜刷。

可能有人會覺得此次事件中當事人在陌生彈窗中輸入 Apple ID 密碼的行為很「笨」，甚至會笑話當事人連「AppLeID」這么明顯的釣魚彈窗都深信不疑，但實際上被釣魚窗口欺騙只不過是整個盜刷過程中最微不足道的錯誤。

沒錯，「AppLeID」確實屬于「藝高人膽大」的詐騙標題，但如果不法分子打的是「AppIe ID」「App1e ID」甚至是用西里爾字母拼寫出來的「Арр l е ID」呢？大家又能分得出「Арр l е ID」和「Apple ID」之間的區別嗎？

在我看來，除了用釣魚手段盜取用戶資料的不法分子外，Apple 也需要對此負責。不同于開放的 Android 應用生態，iOS 作為 Apple 生態中的最重要的組成部分，有著極為嚴格的 App 分發限制。甚至在 Apple 的平臺安全保護頁面就寫道：

與其他移動平臺不同，iOS 和 iPadOS 不允許用戶安裝來自網站的潛在惡意未簽名 App 或者運行不受信任的 App。運行時，所有可執行內存頁會在載入時進行代碼簽名檢查，以幫助確保 App 自安裝或上次更新之后未被修改過。

換句話說，iOS 用戶之所以愿意只從 App Store 中下載軟件，是因為 iOS 用戶以 App 安全作為代價，讓渡了一部分選擇的權利。而作為應用審核的一部份，Apple 也理應發現這種打著「AppLe」名號的釣魚行為，別忘了 Apple 對 App 熱更新可是有嚴格管控的。如果 Apple 的審核無法有效過濾惡意釣魚應用，那還不如直接開放應用側載，讓用戶自己為自己的信息安全負責。

早在 2022 年，我們就討論過 Apple 是否會開放側載功能，彼時的意見主要分為兩派，一派認為 Apple 會在外部的壓力下，開放側載支持，另一派則認為 Apple 會頂住壓力，繼續維持自己的封閉生態。

支持側載的一方認為，在最高 20% 的全球營收罰款和歐洲市場的威懾下，Apple 肯定會妥協的。而封閉方則認為，Apple AppleCEO 庫克公開表示過 Apple 不會支持側載，側載會對 Apple 生態的安全造成嚴重影響。

記者 Mark Gurman 聲稱自己得到了內部消息，Apple 將會在 iOS 17 中首次允許 iPhone 用戶下載 App Store 以外的應用程序并安裝。

當然，目前并不清楚是允許用戶任意下載，還是需要通過 Apple 認證的第三方渠道下載，但是從實際的結果來看，Apple 開放側載功能應該已經是板上釘釘的事情，至少在歐洲市場 Apple 肯定會開放該功能。

在這條新聞下面，不少網友都疑惑 Apple 為何會屈服，難道 Apple 真的愿意將經營多年的封閉式生態親手毀掉？同時還有不少網友直言：「支持側載的 iOS 和安卓有什么區別，以后看看誰還買 Apple」。

在我看來，Apple 的多數用戶其實都可以歸類為「傳統用戶」的行列，他們不會折騰系統的各種配置、不會費盡心思對比手機的各項參數，他們對于手機的唯一要求就是「流暢」與「好用」。

對于多數用戶而言，App Store 依然是他們最好的選擇，不需要擔心 App 被植入惡意代碼，不需要擔心 App 被捆綁一些不知名軟件。即使在一向以開放著稱的安卓手機中，也有不少用戶選擇只從應用商店下載 App，只有在應用商店實在找不到時，才會轉而前往 App 的官網下載。

從用戶角度來說，iOS 支持側載功能，也是將選擇權交還給用戶的一種體現，讓用戶做選擇而不是代替用戶做選擇，Apple 或許逐漸轉向另一條道路。在我看來，這條道路的未來并不固定，對于 Apple 生態的發展是好是壞，一切都要看 Apple 將會如何處理側載與 App Store 之間的關系。

當然，對于 Apple 來說，側載功能必定會影響他們的營收，畢竟看不慣 Apple 的 30% 應用稅且擁有一批忠實粉絲的 App 并不少。

站在 Apple 角度，自然也不是沒有任何反制措施，退出 App Store 體系選擇側載，意味著 App 將徹底失去在 App Store 被推廣的權利，而 App Store 在可預見的未來都依然會是 iPhone 用戶最大的下載平臺，承載著 iOS 生態的大多數流量，失去了 App Store 的推廣，大多數 App 都可能面臨下載量下降、用戶數下降等問題。

但對作為用戶的我們來說，這些問題其實都無關緊要，無論嚴格限制還是開放側載入，誰能保證用戶的信息安全，用戶自然會用腳投票。