iTunes 帳號盜賣及 iOS app developer 詐欺

淘宝网羅列駭客盜賣 iTunes 帳號 (搜尋 iTunes 結果) 之商品,以 iTunes 美國賬號最低保消費 $150美金 保一天消費 為例,保用 U$ 150 的帳號只賣 28 RMB。以下是賣方說明的例子之一:

本宝贝能正常登陆相应区域的iTunes 商店下载付费资源!保证消费时限为24小时!是下载您想要的软件和游戏,歌曲,电影的最佳选择。也就是说在24小时内保证最低额度的同时,你还可以使用超过最低额度的金额,这些都是不需要另外收费的。本店所推出的account绝对是一手资源。另外现在无论用什么方式充值,都有一定的风险是会封号的。有人说不会封号那绝对是扯淡。本店技术实力雄厚,有各国的账号欢迎选购。具体请看店内宝贝。店内宝贝全部有货,需要请自行拍下。有问题咨询请直接联系店主。

声明:帐户消费我们只管24小时,过了24小时你的帐户里面的钱不是你的也不是我的,在这24小时期间,请不要修改密码,以便出现任何问题我们能即使处理,假如修改了密码出了任何问题,我们有权拒绝处理任何问题,希望顾客朋友能谅解

不少人在 MacRumors 討論區 反應帳號被盜用的情形,其中有些在察覺前巳被盜用上千美元。這情形從數年前便存在,但畢竟盜用 iTunes 帳號是頗沒有意義的事情,大費周張結果一個帳號卻只能賣 28 RMB,駭客利益不大,再者 DRM 授權的東西會跟著帳號走,換帳號也不對,不換難不成用盜來的帳號一輩子? 所以災情雖在但沒有擴大。

最近有幾位 iOS app developer 發現 book 分類的排行榜突然被一大堆 來自越南的侵權漫畫 app 佔據,顯示這些 app 的銷售量激增。理論上這種低品質而且索價 U$ 4.99 至 U$ 19.99 之間不等的 app 不太可能有此般成績,而且還這麼平均地一起上榜。


Source: alexbrie.com

Alex Brie 以自已為例,要在 book 分類 paid-app 榜上維持第 9 名的成績,每天的銷售量至少要在一百次以上,概略的估算這些 app (超過 40 個) 將帶給該 developer 每天約兩萬美元的進帳。

美國沒有這種鴻運當頭的 iOS app developer,越南也不會有,iTunes 帳號盜賣和低品質侵權漫畫 app 的銷售量激增之間只有一個關連 – 以大量盜用的 iTunes 帳號大量購買自已的 iOS app。至少在我的想像中,這個做法替駭客的高超技藝找到獲利較多的出路,每一筆交易拆 70% 過來,由帳號不幸被盜的 iTunes user 買單;原本一個帳號只能賺 28 RMB,現在一天可以賺兩萬美金。

不遇天底下沒有這麼幸福美滿的事,一天賺兩萬美金是貪心過了頭,結果就是把這些 app 全拱進榜,露了餡被擠出榜外的 devloper 察覺,Apple 介入後巳將這些 app 下架,而 iTunes connect 帳號也會被凍結,一毛都拿不到,如果被盜 user 認真起來一狀告上法院,對 Apple 形象損害不小,該越南 developer 恐怕也要走著瞧。

TheNextWeb 追查了一系列以此類手法偷錢的 app,有些甚至存在巳久。此事件曝露出的不當歛財手法不只上述一種,還有比方我假設另一種情形:某 XYZ developer 在 App Store 中有兩個 app,一個是免費的 in-app purchase 型 app「Free app」,一個是定價 U$ 149 的買斷型「149 app」,因為免費,所以「Free app」有為數不少的下載量,使用「Free app」的服務需註冊,XYZ 的 DB 中紀錄了一狗票用戶帳號資訊,他一個個試,結果有 10% 的人較懶惰,帳號 email 和密碼和 iTunes 帳號一樣而被 XYZ 盜用購買了「149 app」,並且也在「Free app」中購買了虛擬物品。一個 Free app 的 10% 用戶數量可能嫌太少,XZY 與另一 ABC developer 結盟,效果立刻加倍,受害者只要中了一個 Free app 的計,帳號就被輪姦。

App developer 透過低價或免費軟體竊取用戶資料,然後盜用於購買自家昂貴 app 或 in-app purchase 商品獲得高額拆帳的手法是可行的,Apple 管不了 XYZ 非法收集用戶資料,就如 Apple 管不了 Facebook 一樣,此時 XZY 和 Mark Zuckerberg 的權利和操作空間一概平等。

一個人可能被釣魚或木馬竊走各種資料,當然包括 iTunes 帳號,Apple 對於此類的帳號盜用情形無計可施,防範帳號被竊也是 user 自身的責任,但上述模式的確可在 App Store 的生態裡運行,這個部分 Apple 就有責任保障用戶權益,嚴格把關 developer 身份及 app 內容。

Steve Jobs 在 WWDC 時說,95% iOS app 會在一週內被 Apple 核准上架,另外 5% 被刷掉的主要原因是廣告不實、當機和使用 private API,顯然為了取悅 developer 而放寬鬆,卻慘了 iTunes user,developer 不需要 private API 也能弄到 user data,甚至在 app 中加個連結就能把 user 帶去安排好的網頁進行非法勾當。

詐騙手法有跡可循,除了仔細審核 developer 送上來的 app 內容與定價之間的關係,並計算 junk app 是否太多,都能透露 developer 動機不正常的線索;另外,從交易行為中也能看出一些端倪,一個人數日內消費一千多美元的 TV show 是要看到民國幾年? 一次買太多就屬不正常,該攔下來。好幾人在短時間內全買同一個 developer 名下的各種商品也有問題,該攔下來。方法很多,雖然不容易但 App Store 有責任。

由於 Base 超大,developer 喜歡 App Store 甚於 Android Market,壞人也一樣,相對較不喜歡繁複設定的屬性甚至可能使 iPhone / iPod user 比 Android user 來得好騙,所以 Apple 即便有控管與審核制度,仍然無法阻擋非法情事的發生。因此 iTunes user 要小心保護自已的帳號和信用卡資料,不要碰亂七八糟的 app,少用木馬一大堆的作業系統,更不要去亂七八糟的網站,最好將信用卡或 Paypal 資料從 iTunes 移除,改用 iTunes 儲值卡才能將被盜用時的損害降到最低。