|
XcodeGhost带来的危害 根据乌云网站(www.wooyun.org)的分析,XcodeGhost的主要的功能是收集一些iPhone和App的基本信息,包括时间、应用标识ID、应用名称、系统区域及语言、设备名字与类型、设备唯一标识UUID、网络类型,并上传到病毒作者的指定网址,该网站专门用于收集数据。
XcodeGhost会把收集到的信息上传到init.icloud-analysis.com。如图所示:
目前该网站init.icloud-analysis.com的服务器已经关闭,也就是说即使该恶意代码发送信息,也没有服务器接收。 乍看上去,该恶意代码收集的信息似乎并不涉及用户的隐私信息,可是另一个专业人士(@saic)对XcodeGhost的进一步分析却足以让许多iOS用户直冒冷汗。攻击者将会利用服务器返回来创建模拟弹窗,攻击者或许能通过弹窗来收集用户支付信息及苹果帐户信息。(从分析中看到伪造的弹窗并没有设置style,应该不会盗取密码。)
还有一个来自@图拉鼎 的分析:如 @Saic 微博所说,情况就是这样:当你在中招的App里完成了一次IAP内购,比如云音乐的付费音乐包,无论是输入密码还是Touch ID,那么一段加密的数据即发往了目标服务器。目前尚不知加密的内容是什么。 还有来自腾讯应急响应中心的一些分析:黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。 相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方App。
黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口:和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书App。装App干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?
远程控制模块协议存在漏洞,可被中间人攻击:在进行样本分析的同时,我们还发现这个恶意模块的网络协议加密存问题,可以被轻易暴力破解。我们尝试了中间人攻击,验证确实可以代替服务器下发伪协议指令到手机,成为这些肉鸡的新主人。
如果说这一次只是对iOS的用户一次预警,那么对于iOS越狱用户来说,所要承担的风险就更多了,通过第三方应用市场安装的应用没有经过安全审核,使用破解版、修改版的应用和游戏,黑客们完全可以在其中加入恶意代码来收集用户信息,如苹果帐户密码及支付信息等。 前不久也是来自乌云漏洞平台上的白帽子爆出了让人震惊的内幕:iPhone抢红包插件居然暗中收集用户的iCloud账号与明文密码!据悉目前已经有22万余用户已经被黑。所以,越狱以后千万不要安装来历不明的应用和插件,如果你的苹果账号密码被获取,轻一点的可能被利用于刷榜,严重点的可以锁定你的苹果设备,然后让你花钱解锁。
更新:涅盘团队(来自@360NirvanTeam)在进一步的分析中找到了XcodeGhost的恶意行为: 恶意行为一:做应用推广。 方法是:首先检测用户手机上是否安装了目标应用,如果目标应用没有安装,则安装相应应用,其中目标应用由C2服务器控制。 恶意行为二:伪造内购页面。 恶意行为三:通过远程控制,在用户手机上弹窗提示。
|
正在阅读:iOS用户全中招?XcodeGhost危害全接触iOS用户全中招?XcodeGhost危害全接触
2015-09-21 16:40
出处:PConline原创
责任编辑:zhangxinxin
键盘也能翻页,试试“← →”键
