苹果攻击事件幕后：Wirelurker窃取的隐私如何被售卖

    麦芽地网站上传播的“Wirelurker”木马估计让不少人震惊，未越狱的iPhone并非想象中安全，隐私泄露、远程控制这类病毒木马还是能存在。

    PANW的研究报告中显示，“Wirelurker”至少存在了6个月之久，受感染软件被下载超过35万次。直到被外媒曝光，苹果才反应过来修复。在这起事件中，“Wirelurker”木马传播网站麦芽地、国内外安全机构、苹果究竟做了什么？在充当怎样一个角色？被“Wirelurker”所窃取的个人隐私又去了哪里？所有细节都是未知。雷锋网采访了几位当事人，希望能还原“Wirelurker”幕后的真实情况。

能向未越狱iPhone安装第三方应用并不稀奇

    “Wirelurker”木马被外媒广泛宣传的一点，是能向未越狱iPhone安装应用，但事实上它在国内并不稀奇。“Wirelurker”利用的是名为“企业部署”技术，国内如PP助手、快用助手也是使用这种技术来安装应用。

    这其实是一种滥用。“企业部署”是苹果为企业IT部门所准备，主要针对企业内苹果设备过多而推出的一种批量管理技术。

    目前苹果已经撤销恶意软件的（企业）安装证书，因此这些软件将无法再像以前一样安装。

被窃取的用户资料将去哪里？

    “Wirelurker”会向iPhone内安装推广应用和木马应用，然后将iPhone内的通讯录、短信、浏览器等个人数据上传至指定服务器。接下来，数据会去哪？

    一位iOS安全人员告诉雷锋网，一般来说这些数据都会流入地下黑产交易市场，那里有很成熟的处理机制。通讯录一般用作电话营销和iMessage广告，通常营销广告都是从这里知道你朋友的姓名和电话；短信、通信记录等用作大数据分析，分析个人喜好做精准投放；如果你还被安装了键盘间谍应用，那么账号密码泄露然后分门别类到相应数据库中也是很常见的。

    其中iCloud账号密码还有特别用处。如果某天你的iPhone被某位高科技小偷顺走，Ta第一件事就是去iCloud库里找是否有你的账号密码，解除“找回iPhone”绑定后，这台手机基本就找不回来了。

6个月内，麦芽地在干什么？

    雷锋网联络到麦芽地CEO陈鹏，他目前正在处理此事。

    麦芽地分为两部分，论坛、下载站。下载站（PANW报告内所称的App Store）内容有网站方主动在国外抓取、也有用户分享应用。陈鹏称，他对“Wirelurker”一直不知情，虽然站内有用户反馈曾出现“被安装iPhone应用”的情况，但限于能力精力一直没有太过留意。直到PANW公布此事后，他才确认有木马一事，并在第三天应急关闭了麦芽地下载站。

    陈鹏对雷锋网表示，由于个人从事营销方面工作，对技术不太了解，因此这件事情虽然有听闻，却无能为力。麦芽地曾经融过一笔钱，但这个网站一直处在亏损状态，2012年后另一位合伙人出走后，陈鹏逐步也从网站淡出，只有少数精力在做删帖、日常系统维护等事宜。

    陈鹏与麦芽地所代表的，是中国Mac应用生态的一个缩影，业内并不止他们一家处于这样状态，在“Wirelurker幕后(下)”中，我们将对这部分进行讲解，敬请期待。