威锋技术组在凌晨0点52分时发布长微博称发现某抢红包类助手通过后台注入存在收集用户iCloud用户账号、密码行为，此行为被认为与前段时间“被刷榜”事件有紧密的联系。而通过漏洞检测发现，共有22万个左右有效的iCloud账号与密码被盗取，威锋技术组正在全面展开证据收集工作。微博还附有一张长图，详细验证用户资料被泄露的真实性。

目前有225563个苹果账户被泄露，数量依然在增加

　　威锋技术组并未指明“抢红包类助手”系哪家，但由于涉及面非常大，随后，威锋将此漏洞提交到了乌云漏洞报告平台及CNCERT国家互联网应急中心处理。

　　触乐记者联系到最早发现此漏洞的技术工程师i_82，他接受了我们的采访。i_82是从7月开始关注这件事情的，但直到8月24日晚，他从互联网上抽查了一款“当下最热门的抢红包软件”，然后才发现了这个漏洞。

　　包括微信在内的各类即时通讯软件提供的红包功能诱发了用户的欲望，而各种“抢红包”插件则让这些欲望得以实现。在金钱——哪怕是几分钱人民币——面前，很多用户的理智降至底线，他们不加验证地在自己的手机上安装各种抢红包插件——而这些插件中多数含有木马。

　　“通讯软件应该是有责任的，客户端的反动态调试和反静态分析都没有达到作为一款支付软件应有的标准。” i_82对触乐记者表示，插件的工作原理是针对微信创建“钩子”，获取当前的用户登录信息，当收到红包事件的时候做出反应。然后伪装成微信客户端，以用户的登录信息，向服务器发送领取红包的请求，达到领取红包的目的。

　　i_82指出，部分通讯软件在处理红包逻辑上可能存在问题，用户在领取红包之前能从服务器获取到红包领取情况。但他同时向触乐记者表示，大部分通讯软件本身的登录状态应该受到了严格的控制，用户的通讯软件帐号密码应该是安全的。

　　众所周知的是，越狱后的iPhone无法为用户提供哪怕是最初级的安全保障。仅在i_82检查的这个插件中，就已经发现超过22万个iCloud 帐号被泄露，除了这些帐号信息之外，泄露的资料甚至包括各类游戏的帐号鉴定，即使用抢红包软件的用户的游戏帐号及密码也同时存在泄露的危险。

　　“这只是庞大刷榜黑色产业的冰山一角”。i_82对触乐记者表示。“iCloud 密码更容易被劫持，且风险更小，更隐蔽。”

　　■ 深忧

　　苹果因为高度自动化、一体化与封闭化的生态与设计而受到用户的广泛欢迎与赞誉，而一旦用户越狱，安全上的防护就几乎为零，但大多数用户忽视了这种脆弱。

　　第三方Cydia插件一直被iOS越狱用户视为福音。通常来说，在越狱之后，用户需要手动通过破解软件Cydia添加来自不同“源”的第三方插件方便自己使用手机。第三方插件的功能非常强大，比如上文提到的抢红包助手，帮助用户在所有抢红包竞争中占得先机，datameter可以给苹果用户提供流量统计这种越狱前不具有的实用功能，IAPCrazy则可以直接破解游戏里的内购系统，帮用户轻松破解内购系统。目前国内国外有诸多的“源”地址，比如威锋源是国内最大的源，有很多第三方作者源依附在威锋源上，而其他的越狱“源”地址比如25pp助手源、3k源，游戏助手源比如178源，叉叉助手源都是比较有影响力的“源”地址。

在威锋源网站里有种类繁多的源地址推荐

　　“盗刷”的真凶就是第三方插件吗？在事情水落石出之前，谁都不敢妄下结论。触乐联系到国内一家负责软件评测团队的负责人，他恰好最近在关注盗刷事件，也看到了威锋网技术组最新发布的微博。据他介绍，所有的插件都可以安装后门软件盗取用户信息，在技术层面没有任何问题，“我现在担心的不只是某红包类助手，而是其背后的‘源’把后门软件植入到每一个开发的插件里。”

　　■ 保护与反击

　　疑云何时散去还不得而知，受害的用户们已经开始有意识的保护账户安全，通过行动去维护自己的权益。

　　在被刷之后，“蔷薇予酒”第一时间修改了账户密码，并且开启二步验证，“这种事不会断的，等过了这段时间，肯定还会继续活动。”虽然最近风平浪静，他对“盗刷”依然心有余悸。威锋网友“rong4520”也遇到了盗刷的情况，“提高安全防范意识。是每一个人必修的课程，不要等事情到了无法挽回的地步才后悔莫及。”他给记者举了个例子，用户安装和使用任何软件时，通常的做法就是速度点击“我同意”，根本不会仔细浏览详细条款。其实被盗，往往都是用户疏忽造成的。痛定思痛，他整理了六条保护账号安全的措施，比如“越狱用户请不要下载来历不明的插件，修改‘root shh’等密码，至少我们要做物所能及的安全工作”以及“卸载XX助手，给予他们严厉的打击。某些助手就装逼了，我有XX粉丝数百万。但是水能载舟，亦能覆舟”等。

个人账户安全的“六条宣言”

　　给苹果商店写邮件投诉是受害用户最先想到的维权方式。“成佳熙8023”把盗刷的App直接举报给苹果商店，可得到回复并不令人满意。“苹果官方让我隐藏被盗刷的应用，可这有什么用呢？”他告诉我们，被隐藏还是计算App的下载量，苹果商店如果不能撤销购买，举报和投诉就没有任何作用。记者在论坛里看到，已经有不少网友写邮件投诉盗刷应用，希望官方可以主持公道，可是从苹果官方的回复来看，这个方法收效甚微。