# 2013年7月中旬开始大量 Apple ID 被盗用来在中国区 App Store 进行刷榜，谁的嫌疑最大？

By [gorilla](https://paragraph.com/@gorilla-2) · 2022-10-13

---

Struts2 漏洞，离我们真的很近。

——— 最直白的回答 ———

题主说了，谁的嫌疑最大。现在把我所怀疑的列一个清单，按怀疑程度从大到小排序。

最有可能的，是越狱后的插件存在盗取账号密码的行为。

其次，是由于漏洞（可能是Struts2）而导致的用户信息泄露

然后是第三方软件（各种手机助手之类的）

当然了，兼而有之，也不是不可能。

——— FBI WARNING ———

如果苹果真的存在漏洞，那么现在不要沾沾自喜于没被盗用，所有人的信息都可能被泄露，虽然这可能性比较低。所以，建议大家改一下密码，以防万一。

突然想起来，App Store账号被盗，拿它刷榜啥的其实都是小菜，骂几句可能就过去了，不会对生活和隐私造成太大的影响。

可是别忘了，Apple ID可是绑定了iCloud的！

照片流！通讯录！短信！备忘录！更要命的是iOS 7还有个“钥匙串”功能！

所以，如果已经发现自己的账号被盗了，千万别不当回事！赶紧换密码吧！

——— 免责声明 ———

以下我说的所有东西，都只是个人推测，相信所有的问题从技术层面都可以证实或是证伪，但我不是相关从业者，而且我相信即使是业内人士，证明起来也不太轻松，所以发出了我的推测过程。

如果由于我的个人言辞导致了您的团队蒙受不白之冤，在此一并表示抱歉。我将对我的言论负责到底，但我不认为我在诽谤，并欢迎提出质疑，我会将答案改得更靠谱。

今天早上刷微博，看到了盗号刷榜的消息。当我得知自己账号可能处于危机中时，我整个人都傻掉了——

老子账号里有钱！我只是个穷学生！

于是乎冲到了App Store里，钱一文没少，但是我已经中枪了。

第1,3,5个应用程序，都是刷榜应用，在我不知情的情况下被下载的。

于是乎，赶紧改密码。

——— 这就是为啥来答题 ———

当然，理科生是绝对不会甘于做肉鸡的，我就开始查找分析，哪里出了问题。

网上很多说法，无外乎赖上四家：iTools，PP助手，iFanbox，Cydia插件。

那就一个个想吧，现在我已经被下黑手了。

电脑，包括手机上，我从来没用过PP助手，在这个touch上我也从来没用过91，也没用过iFanbox，专注iTools一百年。除了iTools以外，还用过快用苹果助手。在我没向这个账号充值的时候（通过iTunes Gift Card，我未绑定信用卡）我曾经在iTools里输过一次密码，iTools有重大作案嫌疑。

但现在只能确认它有嫌疑，于是我又翻出了一个我很早的App Store 账号，这个账号我给同学了，经调查确认，她没有使用过任何第三方软件——实际上她连iTunes都不怎么会用。在这个账号里，那几个令我愤怒的软件又出现了。

问题变得越来越有意思了，没用过iTools的账号，依然出现了这个问题。在无法证伪的情况下，我不能因为这个洗白了iTools的作案嫌疑，但它确实可能不是唯一的案犯。

那么，插件呢？

网上大家反映的，一来使用过手机助手，二来就是越过狱。在手机助手成为众矢之的的时候，插件成为了一个小配角。但经过思考后，我觉得，聚光灯可能投错了主角。

我的两个Apple ID，都曾经在越狱的机器上使用过。其中一台已越狱的iPad，至今仍在被使用。

按照网上大家的说法，不少中招的账号，也确实是在越狱后的机器上使用过的。

我在这里不想仅是怀疑提供内购破解的插件，比方说iAPFree之类的。确切的说，在越狱后，由于系统被篡改，所有的插件都可能在你不知情的情况下，偷你的Apple ID！

在这里放出一张我的插件源截图，个人认为，我所加的插件源都不能算是小站了。但是，我的Apple ID确实是被盗取了，毋庸置疑。

问题可能出自插件源上，但未必是插件源本身的问题。

多玩多个分站远程命令执行漏洞本漏洞于7.17提交。作案时间似乎对上了。但就这个漏洞可不可能导致泄密，请专家来答。

看来，作案时间很重要啊……

其他可能性呢？关注一下作案时间，网上的都在说问题出现在最近几天，题主的问题更新也将时间明确到了七月中旬，而最近几天确实出了一件大事。

7.17日，Apache Struts2漏洞被官方发布，被官方发布，因为很重要所以说两遍。按@大风 的说法：

官方不负责任的披露了漏洞利用方法，首先就让这个漏洞被大面积利用成为了可能。

很多大型网站因为这个漏洞被攻破。我不知道苹果是否使用了这个架构，我也不是IT从业者。但身边的人的邮箱账号莫名其妙的被用做注册了京东，说明这个漏洞，确实开始波及到我们身边。

于是另一种可能性浮出水面，苹果的用户信息可能已经被盗取了。另一个证据是，苹果开发者中心已经宕机五天了，依然是这个漏洞搞的鬼。贴一张乌云漏洞平台的图。

作案时间上，不好确认，因为苹果提供不了应用的购买时间。所幸案发不久，而且我也刚好下了几个应用，而且我下的应用，还都是夹在几个刷榜应用里，便得幸确认了时间。

在touch5上，IFTTT是我在看到知乎日报上的推荐后下载的。知乎日报的“最美应用”于7.17推荐了这个应用，我在7.18日下载了这个应用。

在iPad上，我在7.11下载了QQ影音。看起来时间上不太吻合啊……

但是，7.17是官方发布漏洞的时间。谁知道漏洞是什么时候被发现的，发现它的人又做了些什么。

关于苹果数据库被盗这种可能，我在这里提一个想法：诚然开发者中心和App Store是分立的，但通过入侵开发者中心，进而入侵主服务器和数据库，不是没有可能，理论上行得通，就是很费劲。

总之，现在能做的，就是检查账号和绑定的信用卡，赶紧改密码，然后告知身边人这个悲惨的消息，给那些刷榜的应用程序评个一星，撂下一句国骂。虽然他们肯定会再刷星，但至少不能白让他们把我恶心了。

——— 最后的一点解释 ———

其实，我所提出的三个可能性，都有一些问题。但账号被盗是切切实实的，作为无知的群众，推测甚至是猜测，总还是要进行的。

首先，就插件问题而言，和时间契合不上。这件事被大规模爆出，确实是这几天才有的。但iOS 6的完美越狱，可是过年的时候就出了啊！为什么要等上这五个月呢？而且，威锋等一些大的插件源，搞这些手脚，犯不上。

同样犯不上的，还有这一干手机助手们，毕竟某“安全软件”被骂的狗血淋头的前车之鉴，大家都是有目共睹的。

苹果的安全性一直是它的卖点之一，我个人也不相信苹果公司会明文储存Apple ID。所以说从拖库到解密到转手把数据卖了，也是需要时间的。

在此顺便回复一下替可能的盗号者考虑风险的朋友：作为敢刷榜，敢贪污几十亿，敢向同胞的伙食中下毒的民族，我们没什么不敢干的。侥幸心理嘛。

第一次在知乎回答问题，至少得对得起自己。

---

*Originally published on [gorilla](https://paragraph.com/@gorilla-2/2013-7-apple-id-app-store)*