您现在的位置: 主页 > QQ黑客资讯 > 苹果iPhone > 文章内容

黑客瞄准苹果应用开发者 数百款iOS应用“中毒”

作者: QQ黑客 来源:未知 时间: 2015-09-21 阅读:

过去一周,苹果手机应用商店iOS APP Store遭遇有史以来首次大规模信息安全攻击,由于使用的伪造Xcode开发工具来自中国的一个服务器,数百款中文苹果应用被发现植入恶意代码。这其中既包括微信、滴滴打车、铁路12306等用户数目巨大的民生应用,也包括同花顺、工银融e联等较为专业的银行理财类应用。受此次事件影响的行业囊括了互联网、金融、电信、铁路航空、媒体等各个领域。

  根据360公司9月19日发布的报告,在他们扫描的超过14.5万个iPhone应用中,共发现344款感染了名为XcodeGhost的病毒。腾讯安全应急响应中心(下称“黑客联盟”)的数据显示, App Store下载量最高的5000个应用中,有76款被感染(编者注:财新周刊的3041-3.0.4版本APP也受到影响,财新传媒技术部已于9月19日清晨将原有财新周刊APP版本下架,并报送了新版本更新)。

  “根据保守估计,受这次事件影响的用户数超过一亿。”黑客联盟安全网在官网上的博文中写道。

  由于苹果的手机系统较为封闭,且建立了严格的应用审核机制,人们普遍认为iPhone比安卓手机安全。但这次,黑客没有选择在手机上直接安装病毒,而是通过诱骗应用开发者使用伪造的iOS和Mac应用开发工具Xcode,堂而皇之地让恶意代码进入各家公司的官方应用。

  长期以来,因为从苹果的官方渠道下载速度过慢,许多国内编程人员都是从百度网盘或迅雷等第三方渠道下载名为Xcode的iOS开发工具。正是看中了这一点,黑客从今年3月起大规模发放修改过的Xcode编译器。360公司、腾讯安全、猎豹移动安全实验室均认为,使用这种工具开发的APP会自动带上后门,拥有在感染的iPhone或iPad上弹出对话框窗口的权限,可骗取iCloud帐号密码或其他基础信息。

  多家受影响企业在回应时,均表示自己已对应用版本做出更新,且感染源服务器已被关闭,目前尚未发现用户会因此造成信息或财产的直接损失。苹果公司也已发出通知,下架受影响的APP,只有重新编译、通过审核后的才能重新上架。

  病毒是从何而来

  360公司攻防实验室负责人林伟向财新记者介绍,在曝光前,此次事件背后的黑客或黑客团队已至少潜伏了半年。早在2月25日,黑客便注册了此次用来上传资料的网站init.icloud-analysis.com。3月13日起,黑客开始在网上大规模传播带后门的Xcode编译器。这些黑客不仅在网上发布下载地址,甚至会黑掉论坛版主,替换下几年前就已经存在的下载链接。“这些都是非常老道的专业黑客或团队,做得非常巧妙和隐蔽。”林伟评价说。

  这种隐瞒一直非常顺利,直到有几亿用户的微信也用到了这批代码。9月10日,微信发布更新,加入了这个后门。根据360公司的说法,由于用户数瞬间增大,导致黑客的服务器被“压瘫”。微信的测试团队开始发现,其连接服务器的速度变慢。在修理过程中,XcodeGhost病毒终于公之于世。9月12日,微信发布清理后的新版本,并将此事上报国家互联网应急中心。

  预感到问题的严重,黑客随即停掉了网站域名,并把服务器关停。“黑客现在应该不敢去服务器窃取这些数据。”林伟推测。

  在9月18日发布的声明中,微信团队表示,“用户可升级微信自行修复,此问题不会给用户造成直接影响。”腾讯新闻发言人张军也向财新记者反复确认,在黑客关闭服务器以前,腾讯已确认,微信中的聊天和支付信息没有泄露。他同时表示,由于是第一时间发现,受影响的用户数少。

  “这个漏洞没有大家想象的那么严重。因为第一次发生,所以大家很惊讶。

  于此同时,其它受影响的公司也发表声明。滴滴表示,受恶意代码影响的4.0 版本滴滴出行“不会涉及到用户隐私”,且“感染源的服务器已被关闭,不会再产生任何威胁”。

  虽然此次后门发送的信息并不涉及核心私密,但大部分知名安全实验室同意,XcodeGhost病毒潜力巨大。9月19日,腾讯安全发布博文表示,通过上报的信息,黑客能够区分每一台iOS设备,“然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API(应用程序编程接口)来执行”。有了这个能力,腾讯安全认为,黑客将“不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP”。

  林伟也认为,这个后门可以往手机推送控制命令,窃取QQ密码和账户信息,取得里面存储的照片、短信、通讯录等文件。保守起见,他建议用户查看自己的APP版本是否受到影响,在更新后,修改受影响的APP和QQ密码。

  黑客是那家有能力(破解QQ密码)

  自从微信团队发现了XcodeGhost病毒,寻找这个黑客便成了360团队的一个目标。

  9月19日凌晨近3点,360网络攻防实验室在微博上公布了他们认为的黑客特征:“88年生,某工大本科,保送研究生,前程似景,集合各种语言开发能力,会画图,爱好文学,好骑自行车旅行,了解机器学习。”

  两个小时后,一个注册于9月17日、名为“XcodeGhost-Author”的用户发表该账户唯一的一条微博,为此事道歉,并称XcodeGhost病毒“源于我自己的实验,没有任何威胁性行为”。声明称,自己虽然在病毒中加入了广告功能,但“并未使用”,且“已删除所有数据,更不会对任何人有任何影响”。

  不过,360公司的林伟并不买账,认为此人只是在被揭穿后试图逃避责任。林伟认为,创造这个病毒只是“为了窃取用户信息”,360公司已就此事报警。

  林伟同时说,虽然发生了这件事情,苹果系统还是比安卓要安全很多。此次黑客加入的恶意代码“并不算严格意义上的病毒和木马”,而是更接近于一个正常的发送功能,因此“苹果也没有办法防御这个事情”。

  他告诫APP开发者,不要为了图一时之快,去非官方渠道下载开发软件,并且需要及时关注自己的应用是否连接了非官方服务器。

  腾讯安全则认为,这件事带来的思考,远不止改变不安全的下载习惯这么简单。“经过这两年若干次攻击手法的洗礼后,我们更加清醒的意识到,黑产从业者早已不是单兵作战的脚本小子,而是能力全面的黑客团队。”腾讯安全在博文的末尾写道。“当然,这里的危机也是安全行业的机遇。”