夜雨聆风4月14日,海外权威科技媒体9to5Mac发布重磅报道,苹果App Store于当日紧急下架两款存在严重安全及违规问题的应用,一场涉及千万级数字资产安全与用户核心隐私的重大安全事件,迅速引发全球iPhone用户及科技行业的广泛关注与热议。其中一款为伪装成正规加密货币钱包的恶意应用,累计导致至少50名用户的数字资产被盗,涉案总金额高达950万美元(按现行汇率折算,折合人民币约6500.8万元);另一款以“刷视频轻松盈利”为噱头的应用,则存在严重非法采集用户敏感信息的行为,具体包括用户种族、健康状况及生物特征等核心隐私数据,且涉嫌通过“换壳复活”的违规手段规避苹果平台监管。两大违规事件在同一日内集中爆发,不仅对苹果公司长期标榜的“严格审核、安全可控”机制形成强烈冲击,也使得全球广大用户对苹果生态系统的安全性产生了前所未有的严重质疑。
此次引发舆论广泛关注和用户恐慌的,是一款精心伪装成知名硬件钱包官方应用的恶意软件——假冒版Ledger Live。在加密货币领域,官方Ledger Live应用凭借其成熟的加密技术和严格的安全防护体系,长期获得全球加密货币用户的高度认可和信任,是众多用户存储、管理数字资产的核心工具。而不法分子正是精准抓住了用户对该应用的信任心理,投入大量精力研发高仿恶意程序,在界面设计、功能描述上与官方版本高度相似,以此迷惑用户。令人意外且费解的是,这款暗藏非法盗币功能的假冒应用,成功通过了苹果App Store的多重审核流程,顺利在官方平台上架,并在未被发现的情况下持续开展非法盗币活动,其非法盗币周期长达一周之久,给用户造成了不可挽回的财产损失。
据全球知名加密货币媒体CoinDesk披露的详细调查细节显示,该恶意应用在4月7日至13日这一周时间内,持续、有针对性地实施盗币行为,截至被下架前,至少有50名用户的比特币、以太坊等主流加密货币被非法窃取。从具体损失情况来看,受害者的受损程度极为严重,其中3名用户的损失金额直接突破七位数美元,单笔最高被盗金额更是达到323万美元,折合人民币超2200万元。多数受害者在接受调查时表示,其之所以未对该应用产生任何警惕,核心原因在于充分信任苹果App Store的审核标准和安全保障能力,从未预料到官方应用平台会出现此类恶意软件,最终导致自己多年积累的数字资产遭受了毁灭性的重大损失。
事件发生后,全球知名区块链调查机构及专业调查人员第一时间启动数字资产溯源工作,通过区块链的可追溯特性,对被盗资产的流向进行全面追踪,最终发现所有被盗数字资产已被不法分子快速转移至KuCoin(库币)平台的指定存款地址。经进一步核查确认,该存款地址与一家知名的中心化加密货币混币服务存在密切关联,此类混币服务的核心功能就是通过收取高额手续费,对非法资金进行拆分、转移,以此打乱资金流向、掩盖其非法来源和最终去向,这也使得受害者追回被盗资产的难度大幅增加,大概率面临资产无法追回的困境。知名区块链调查员ZachXBT在社交平台公开表示,此次假冒应用盗币事件性质极其恶劣,苹果作为应用分发平台,在应用审核和风险管控方面存在明显的监管失职,不排除后续将有大量受害者联合发起集体诉讼,苹果公司或将因此面临巨额经济赔偿及不可挽回的声誉损失。
截至目前,苹果公司已紧急下架该款假冒Ledger Live应用,以阻止其继续危害更多用户,但针对外界提出的一系列核心质疑,苹果方面始终保持沉默,未发布任何官方声明,也未对两大关键问题作出任何解释和回应:一是该恶意应用究竟通过何种手段突破了苹果App Store的多重审核防线,成功完成上架;二是在接到早期用户反馈的资产被盗报告后,苹果为何未及时采取下架、预警等应急处置措施,导致更多用户遭受损失。一直以来,苹果公司都以“封闭生态、严格审核”为核心产品卖点,反复宣称App Store是全球最安全、最可靠的应用分发平台,而此次恶意软件长期在平台内非法运营且未被及时发现,无疑彻底打破了其精心构建的“安全滤镜”,让其安全口碑遭受严重打击。
与此同时,在4月14日同一天被苹果App Store下架的Freecash应用,其违规行为同样严重,不仅违反了苹果平台的相关运营规定,更涉嫌违反全球多地的隐私保护相关法律法规。据海外权威科技媒体TechCrunch报道,该应用借助TikTok等社交平台的精准推广,以“刷视频即可轻松盈利、零门槛赚零花钱”为核心宣传点,通过设置小额现金奖励等方式,快速吸引了大量有兼职增收需求的用户下载使用。但该应用表面上的盈利任务,实则是精心设计的隐私窃取陷阱——用户在完成观看视频、下载应用等相关任务的过程中,其种族信息、健康数据、生物特征等高度敏感的个人信息,均被应用暗中采集、存储,用户的隐私安全根本无法得到任何保障。
全球知名网络安全公司Malwarebytes安全团队发布的专项调查报告,进一步揭示了Freecash应用的真实性质和违规本质:该应用并非正规的用户盈利工具,本质上是一个非法的数据中介平台。其推出的“刷视频赚钱”机制,仅仅是诱导用户下载、消费指定手机游戏的引流手段,而该应用的核心商业目的,是通过非法采集用户的核心隐私数据,再将这些数据出售给第三方机构,以此获取巨额非法收益。值得注意的是,该应用并非首次出现违规行为,其背后存在明显的“换壳复活”违规操作,属于典型的“屡教不改”型违规应用。
相关调查结果显示,Freecash应用的早期版本由Almedia GmbH公司开发运营,由于存在严重违规行为,已于2024年年中被苹果App Store下架处理。本应彻底退出市场、停止违规活动的应用,在数月后却通过更换运营主体的方式卷土重来:塞浦路斯的256 Rewards Ltd公司接手该应用后,将其原有名称更换为Freecash,并通过注册新的开发者账号、修改应用部分代码等方式,成功规避了苹果平台的封禁机制,重新在App Store上架并继续实施非法采集隐私数据等违规操作。此类恶意规避监管、屡教不改的行为,不仅充分暴露了相关开发者的贪婪与违规意图,更凸显出苹果App Store审核机制存在的明显漏洞和监管短板。
单日之内,两款存在严重问题的应用接连被苹果App Store下架,一款涉及巨额数字资产盗窃,直接导致用户遭受重大财产损失;一款涉嫌大规模隐私数据窃取,严重侵犯用户合法权益,此类事件的集中发生绝非偶然,背后反映出的是苹果App Store审核机制的漏洞和监管不力。对于苹果公司而言,此次事件构成了一次严重的用户信任危机:多年来,苹果依靠封闭生态体系构建的安全口碑,正逐步被多次发生的审核失职事件不断消耗,用户对苹果产品的信任度也在持续下降;对于广大用户而言,此次事件也起到了至关重要的警示作用——即便是官方应用分发平台,也并非绝对安全,用户在下载各类应用时,必须保持高度警惕,不可盲目信任平台审核。
在此,我们提醒广大用户,在下载金融类、钱包类等涉及资金安全的应用时,应仔细核对应用的开发者信息、官方认证标识及相关资质,仔细区分正版与高仿应用,避免被虚假应用误导;面对“轻松盈利”“零门槛增收”等看似诱人的应用,需提高自身防范意识,坚决不随意授权隐私权限、不泄露个人敏感信息,从源头保护自身的财产和隐私安全。目前,假冒Ledger Live应用盗币事件仍在持续发酵,受害者的维权工作、被盗资产的溯源工作尚未取得实质性进展,苹果公司后续是否会发布官方回应、是否会对现有审核机制进行全面整改、是否会对受害者进行相应补偿,本报将持续关注并第一时间发布最新进展。
归根结底,用户选择苹果产品,核心是认可其宣传的安全可靠、品质优良的产品特性;若苹果公司始终回避此次事件中暴露的问题、敷衍应对用户的质疑,任由审核漏洞存在、监管不力的情况持续,终将耗尽全球用户的信任,最终失去市场竞争力,被广大用户所抛弃。
