夜雨聆风4月14日,海外权威科技媒体9to5Mac发布重磅报道,苹果App Store于当日紧急下架两款存在严重问题的应用,一场涉及千万级资产安全与用户核心隐私的安全事件,迅速引发全球iPhone用户的广泛关注。其中一款为假冒加密货币钱包应用,累计导致至少50名用户的数字资产被盗,涉案金额达950万美元(按现行汇率折合人民币6500.8万元);另一款以“刷视频盈利”为噱头的应用,存在非法采集用户种族、健康状况及生物特征等敏感信息的行为,且涉嫌通过“换壳复活”规避平台监管。两大违规事件的集中爆发,不仅对苹果长期标榜的“严格审核”机制形成强烈冲击,也使得全球用户对苹果生态的安全性产生严重质疑。
此次引发舆论广泛关注的,是一款伪装成知名硬件钱包官方应用的恶意软件——假冒版Ledger Live。在加密货币领域,官方Ledger Live应用以其较高的安全等级获得用户认可,而不法分子正是利用用户对该应用的信任,精心研发高仿恶意程序。令人意外的是,该款暗藏盗币功能的假冒应用,成功通过苹果App Store的审核流程,在官方平台上架并开展非法活动,非法盗币周期长达一周。
据CoinDesk披露的调查细节显示,该恶意应用在4月7日至13日期间持续实施盗币行为,至少有50名用户的比特币、以太坊等主流加密货币被非法窃取。从损失情况来看,受害者受损程度极为严重,其中3名用户的损失金额突破七位数,单笔最高被盗金额达323万美元,折合人民币超2200万元。多数受害者表示,其之所以未对该应用产生警惕,核心原因在于信任苹果App Store的审核标准,未预料到官方平台会出现此类恶意软件,导致多年积累的数字资产遭受重大损失。
事件发生后,区块链调查人员立即启动资产溯源工作,发现所有被盗数字资产已被转移至KuCoin平台的指定存款地址。经核查,该地址与一家中心化加密货币混币服务存在关联,此类服务的核心功能是通过收取高额手续费,打乱资金流向以掩盖其非法来源,这也导致受害者追回被盗资产的难度大幅增加。知名区块链调查员ZachXBT表示,此次事件性质恶劣,苹果作为应用分发平台存在明显监管失职,不排除后续将引发集体诉讼,苹果公司或将面临巨额经济赔偿及声誉损失。
截至目前,苹果公司已紧急下架该款假冒Ledger Live应用,但针对外界提出的核心质疑,苹果方面始终保持沉默,未发布任何官方声明,也未对两大关键问题作出解释:一是该恶意应用如何突破平台审核防线完成上架;二是在接到早期用户被盗报告后,为何未及时采取下架等应急处置措施。一直以来,苹果公司以“封闭生态、严格审核”为核心产品卖点,宣称App Store是全球最安全的应用分发平台,而此次恶意软件长期在平台内非法运营,无疑打破了其构建的“安全滤镜”。
与此同时,同日被下架的Freecash应用,其违规行为同样严重违反平台规定及相关隐私保护要求。据TechCrunch报道,该应用借助TikTok平台的推广,以“刷视频即可轻松盈利”为宣传点,快速吸引大量有兼职需求的用户下载使用。但该应用表面上的盈利任务,实则是精心设计的隐私窃取陷阱——用户在完成相关任务的过程中,其种族信息、健康数据、生物特征等高度敏感的个人信息,均被应用暗中采集,用户隐私安全无法得到保障。
Malwarebytes安全团队发布的专项报告,进一步揭示了Freecash应用的真实性质:该应用并非正规盈利工具,本质上是一个非法数据中介平台。其推出的“刷视频赚钱”机制,仅为诱导用户下载、消费指定手机游戏的引流手段,而该应用的核心目的,是通过非法采集用户隐私数据,借助数据交易获取非法收益。值得注意的是,该应用并非首次出现违规行为,其背后存在明显的“换壳复活”违规操作。
调查结果显示,Freecash应用的早期版本由Almedia GmbH公司开发,已于2024年年中因违规行为被苹果App Store下架。本应彻底退出市场的违规应用,在数月后通过更换运营主体的方式卷土重来:塞浦路斯256 Rewards Ltd公司接手后,将应用更名为Freecash,并通过更换开发者账号的方式,规避苹果平台的封禁机制,重新在App Store上架并继续实施违规操作。此类恶意规避监管的行为,不仅暴露了相关开发者的违规意图,更凸显出苹果App Store审核机制存在的明显漏洞。
单日之内两款问题应用接连被下架,一款涉及巨额资产盗窃,一款涉嫌隐私数据窃取,此类事件的集中发生并非偶然。对于苹果公司而言,此次事件构成一次严重的信任危机:多年来,苹果依靠封闭生态体系构建的安全口碑,正逐步被多次审核失职事件消耗;对于广大用户而言,此次事件也起到了重要的警示作用——即便是官方应用分发平台,用户在下载应用时也需保持高度警惕。
在此提醒广大用户,下载金融类、钱包类应用时,应仔细核对应用的开发者信息及官方认证标识,避免被高仿应用误导;面对“轻松盈利”“零门槛增收”类应用,需提高防范意识,不随意授权隐私权限、不泄露个人敏感信息。目前,假冒Ledger Live应用盗币事件仍在持续发酵,受害者维权及资产溯源工作尚未取得实质性进展,苹果公司后续是否会发布官方回应、是否会对审核机制进行整改,本报将持续关注。
归根结底,用户选择苹果产品,核心是认可其安全可靠的产品特性;若苹果公司始终回避问题、敷衍应对,任由审核漏洞存在,终将耗尽用户的信任,最终失去市场竞争力。
