IT業界社群及資訊平台

【信你一成】官方 App Store 都有假 app! iPhone 用家被轉走 60萬美元 Bitcoin

有 Apple iPhone 用家投訴,在官方 App Store 上架的加密貨幣錢包 app Trezor 竟然是偷錢app,令用家被盜取約60萬美元bitcoin,揭示 App Store 其中一個安全漏洞,不過條數點計先?

小編一直都呼籲大家一定要在官方 App Store 下載及安裝軟件,特別是 Android 裝置用家,由於 Google 允許用家授權安裝第三方軟件,不似得 Apple 的一刀切政策,所以都有一批鍾意自由試 app 的用家支持。而自由的代價就是,用家安裝的軟件有可能含有病毒,又或由惡意軟件假扮,被入侵的可能性就大增,例如最近網絡安全公司 Zimperium 專家便發現有Android用家在非 Play Store 安裝手機 app 後中毒,惡意軟件更假扮成 Google 的 Android 系統更新,詐騙用家授予手機各種功能。不過既然用家都明白安裝非官方 app 的風險,所以也不會有投訴。

不過,今次 Apple 用家 Phillipe Christodoulou 就非常無辜,因為他已經非常小心,首先他的 iPhone 並無破解,只會從官方 App Store 安裝軟件,早前他因為想查看電子錢包內的資料,於是便在 App Store 搜尋自己所使用的 Trezor 加密貨幣錢包 app;但 Christodoulou 未有即時安裝,他小心地查看 app 的評分,發現用家評價不俗,評分亦有5粒星,所以便放心安裝並輸入自己的 bitcoin 帳戶資料。

誰知當他再次開啟 Trezor,竟發現內裏儲存的17.1枚 bitcoin 已全數被轉走,以二月初的價錢計算,差不多等於損失了60萬美元,追查下他才發現原來自己竟下載了偽裝為 Trezor 的虛假 app!Christodoulou 自然向 Apple 投訴把關不力,而 Apple 方面經調查後,證實該app的確是偽裝app,它之所以能夠避開 Apple 的審批,原因在於黑客在提交時聲稱該app與加密貨幣毫無關連,其功能只是供用家加密手機內的檔案,不過在通過審批可以上架後,黑客才將 app 的功能改為加密貨幣錢包,而這改動卻毋須 Apple 再次審批,因此才能避過攔截順利上架,然後黑客又出動五毛黨將評分推高最終在上架約 10天內取得5星評分,以及吸引約一千人下載使用。

現階段未知 Apple 會否賠償 Christodoulou 部分損失,不過今次事件亦證明了 App Store 上的 app 未必一定安全。建議用家在安裝前一定要睇清楚評語方面有無古怪,例如上架日期短而評語數量極多的話,就要小心。

 

相關文章:【躺著也中槍】加密貨幣Bitcoin熱炒竟導致DDoS攻擊大增

Privacy Preference Center