|
【PConline资讯】这两天,相信许多网友都被受“XcodeGhost”事件刷屏了(点击查看事件由来),据@360NirvanTeam团队连夜扫描14.5万App,共发现344款App感染木马“XcodeGhost”,其中不乏有诸如百度音乐,微信,高德,滴滴,花椒,58同城,网易云音乐,12306,同花顺,南方航空,工行融e等这些拥有极大用户量的应用,涉及互联网、金融、铁路、航空、游戏等领域。
由于涉及的热门应用不少,可以说凡是使用苹果手机及平板的用户都已经可能被牵涉此事件中了。那么什么是XcodeGhost事件?它会带来哪些的危害?如果中招,又该采取哪些措施呢?咱一起来看看。(点击查看详细中毒App名单)
什么是XcodeGhost事件 事件的起始应该是CNCERT发布了一篇《关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报》,声称开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序(苹果App)时,会向正常的苹果App中植入恶意代码。被植入恶意程序的苹果App可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。 接着是@唐巧_boy(ios开发工程师)发布一条消息“一个朋友告诉我他们通过在非官方渠道下载的Xcode编译出来的App被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的App被注入。”随后引发一堆人员的自查,接着就引爆了XcodeGhost事件。
XcodeGhost事件:国内N个手机应用厂商,其中不乏大牌厂商开发人员由于使用了非官方途径下载的Xcode开发工具,而使用了这个被恶意修改后Xcode开发工具编译出来的iOS应用会被自动加入一段恶意代码,该代码的作用是向一个网站(http://init.icloud-analysis.com)上传一系列数据,由于这个恶意Xcode使用者众多,对应的被发布的iOS应用也为数众多,加上不少是热门应用,如微信、12306、网易云音乐等,所以中招的用户估计也不在少数。 关于Xcode:Xcode是运行在操作系统Mac OS X上的集成开发工具(IDE),由苹果公司开发,是开发OS X和iOS应用程序的最快捷最普遍的工具。
一直以来,苹果iOS系统的安全性都值得肯定,只要你的苹果设备不进行越狱操作,所有的应用都在官方App Store中进行安装,这样安装的应用都能得到安全保障,因为所有入驻App Store的应用都必须经过苹果公司严格的安全审核,可是在这一次XcodeGhost事件中却让许多用户从官方App Store中也下载到了带毒应用,着实让用户毫无防备的中招。
XcodeGhost带来的危害 根据乌云网站(www.wooyun.org)的分析,XcodeGhost的主要的功能是收集一些iPhone和App的基本信息,包括时间、应用标识ID、应用名称、系统区域及语言、设备名字与类型、设备唯一标识UUID、网络类型,并上传到病毒作者的指定网址,该网站专门用于收集数据。
XcodeGhost会把收集到的信息上传到init.icloud-analysis.com。如图所示:
目前该网站init.icloud-analysis.com的服务器已经关闭,也就是说即使该恶意代码发送信息,也没有服务器接收。 乍看上去,该恶意代码收集的信息似乎并不涉及用户的隐私信息,可是另一个专业人士(@saic)对XcodeGhost的进一步分析却足以让许多iOS用户直冒冷汗。攻击者将会利用服务器返回来创建模拟弹窗,攻击者或许能通过弹窗来收集用户支付信息及苹果帐户信息。(从分析中看到伪造的弹窗并没有设置style,应该不会盗取密码。)
还有一个来自@图拉鼎 的分析:如 @Saic 微博所说,情况就是这样:当你在中招的App里完成了一次IAP内购,比如云音乐的付费音乐包,无论是输入密码还是Touch ID,那么一段加密的数据即发往了目标服务器。目前尚不知加密的内容是什么。 还有来自腾讯应急响应中心的一些分析:黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。 相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方App。
黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口:和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书App。装App干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?
远程控制模块协议存在漏洞,可被中间人攻击:在进行样本分析的同时,我们还发现这个恶意模块的网络协议加密存问题,可以被轻易暴力破解。我们尝试了中间人攻击,验证确实可以代替服务器下发伪协议指令到手机,成为这些肉鸡的新主人。
如果说这一次只是对iOS的用户一次预警,那么对于iOS越狱用户来说,所要承担的风险就更多了,通过第三方应用市场安装的应用没有经过安全审核,使用破解版、修改版的应用和游戏,黑客们完全可以在其中加入恶意代码来收集用户信息,如苹果帐户密码及支付信息等。 前不久也是来自乌云漏洞平台上的白帽子爆出了让人震惊的内幕:iPhone抢红包插件居然暗中收集用户的iCloud账号与明文密码!据悉目前已经有22万余用户已经被黑。所以,越狱以后千万不要安装来历不明的应用和插件,如果你的苹果账号密码被获取,轻一点的可能被利用于刷榜,严重点的可以锁定你的苹果设备,然后让你花钱解锁。
更新:涅盘团队(来自@360NirvanTeam)在进一步的分析中找到了XcodeGhost的恶意行为: 恶意行为一:做应用推广。 方法是:首先检测用户手机上是否安装了目标应用,如果目标应用没有安装,则安装相应应用,其中目标应用由C2服务器控制。 恶意行为二:伪造内购页面。 恶意行为三:通过远程控制,在用户手机上弹窗提示。 XcodeGhost作者声明:这只是个错误的实验 不过随后一个疑似XcodeGhost作者的声明却是另一个的解释。作者声明XcodeGhost只是一个错误的实验,所收集的数据皆为基本的App信息,没有涉及用户的隐私信息,只是处于私信加入了广告功能,不过该广告功能没被使用。作者已经主动关闭服务器,并且删除了所有收集的数据。
不管如何,XcodeGhost事件都给国内软件厂商敲响了警钟。 开发工具为何不用官方?安卓更加凄惨 为何许多开发人员都不在官方下载Xcode?大家都知道,要下载到无修改版本的软件,最好的方式应该是从其官方网站进行下载,而从许多小型下载站下载到的版本,要么被恶意捆绑,要么根本就不是你想要的安装文件。(当然,太平洋下载中心是值得信赖的//dl.pconline.com.cn/本地下载的皆为官方安装包) 那么开发人员肯定知道这个规则,为何他们不去官方下载呢?这个和Mac APP Store下载速度不无关系,下载个Xcode花费几十分钟非常正常,而是使用非官方国内下载渠道则快速的多。于是有许多开发人员直接下载网友上传到网盘的Xcode文件而导致中招。当然可能还有其它原因。 值得一提的是,相对于苹果工具的下载慢,安卓的开发工具Android Studio、Android SDK的官网由于被墙,导致无法通过普通渠道去到官网进行下载,更加容易出现XcodeGhost类似事件,只盼望开发人员记得校验下载到的文件。
迅雷躺枪?用迅雷在官网下载也会中招?实测一下 至于有消息称,由于称迅雷服务器受到感染,即时是官方下载地址使用迅雷会下载依然会下载到含有恶意代码的Xcode,真的是这样么? 笔者窃以为这是迅雷无辜躺枪,迅雷的离线下载功能和高速下载功能应该会进行类似于SHA1值等的文件校验操作,而不是单纯的文件名和文件大小对比,要不早就恶意软件满天飞了,再说官方版与恶意版本的大小相差6M,大小也不一样,迅雷不会这么没谱吧,除非迅雷服务器惨遭入侵。 迅雷官方的的回应如下:对于Xcode被植入恶意代码一事,有猜测迅雷第一时间安排工程师进行检测,并对比了离线服务器上的文件,结果都与苹果官方下载地址的文件信息一致。也就是说,官方链接的Xcode经迅雷下载不会被植入恶意代码。 “SHA1值为“a836d8fa0fce198e061b7b38b826178b44c053a8”这个被篡改的Xcode6.4文件,最早是从百度网盘添加到离线下载当中的,也就是说用户最早是在百度网盘上看到这个文件,然后使用离线下载创建了任务来下这个文件而已。该文件连文件大小都比官方版本大6.97MB”。 被恶意修改的Xcode6.4.dmg的sha1的是:a836d8fa0fce198e061b7b38b826178b44c053a8。 官方Xcode6.4.dmg的sha1的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0。 关于文件校验:每个文件都有都可以用文件校验程序算出一个固定的 校验码来,如 MD5、SHA1、CRC32,如果文件遭到修改,则对应校验码也会更改,所以校验码是查看文件是否遭到修改的最佳凭证。 如下载Windows 10的官方光盘镜像文件,cn_windows_10_multiple_editions_x86_dvd_6846431.iso的 而迅雷官方也再次发表了声明:亲爱的雷友们,雷叔在了解到情况后第一时间进行了测试,使用迅雷下载了文中提到的XCode6.4和7.0版本,并计算了下载完成后文件的SHA1值,均与原文中的正确值保持一致,没有发现问题。也就是说,官方链接的xcode经迅雷下载不会被植入恶意代码,请大家放心使用迅雷! 口说无凭,我们来实测一下,使用迅雷下载官方Xcode,版本号为6.4 ,下载地址为http://adcdownload.apple.com/Developer_Tools/Xcode_6.4/Xcode_6.4.dmg,下载时开启高速通道与离线下载,下载到的文件校验,MD5: FC57760B91DF8D45EE57BA80436E49A9 SHA1: 672E3DCB7727FC6DB071E5A8528B70AA03900BB0
无辜中招后的我们该怎么做?感染XcodeGhost怎么办? 由于被感染的应用为数众多,而且不乏热门应用,虽然疑似作者声明并无危害,但是防范于未然,咱还是得小心为上。首先要做得是对比本文图1所示应用列表,看看自己的苹果设备(iPhone及ipad)有无安装对应应用,有的话请查看其版本(通常隐藏在“关于”里)是否是中招版本,有中招的应用,请先查看App Store有无更新版本,有则立刻更新新版本(也需对比此新版本有无中招),无更新的做暂停使用甚至卸载处理,坐等更新。 对于用户常用的微信,该问题仅存在iOS 6.2.5版本中,最新版本微信已经解决此问题,用户可升级微信自行修复。 对于中招用户,我们需要修改两个密码,一个当然是iCloud的密码。 具体步骤: 直接进入https://appleid.apple.com/cn→→管理你的Apple ID→重设密码→输入帐户→选择验证方式并通过验证→设置新密码。
相关文章推荐:邮箱与手机验证很安全?怎么泄漏你知道么 还有为Apple ID开启二次验证是个不错的主意,你开启了么?启用二次验证后,用户要登陆帐号就必须使用验证过的设备接收验证码,即时密码遭到泄漏对方也无法登陆帐户。
还有一个需要修改的是你的Apple ID对应绑定的验证邮箱密码。 而对于开发人员,则需要检查自己应用中Xcode/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs目录下是否有除SDK外多余的文件,有的话删除,也就是中招了,如果用此Xcode发布过文件,请用官方Xcode重新编译并发布。 XcodeGhost病毒检测工具有木有?(点击下载检测工具) 最新消息:国内知名越狱及移动互联网安全研究团队盘古,紧急开发了一款病毒检测工具,目前已经提供下载链接。盘古团队表示,已经检测到超过800个不同版本的应用感染了XcodeGhost病毒(目前最全),更多的应用仍在检测中。“我们把检测结果化为云端能力, 紧急加班开发了一款病毒检测工具”,盘古团队称。 从说明来看,该工具专门用于检测本机应用是否感染XcodeGhost病毒病毒,云端库会定期更新。请尽量更新所有应用到最新版本,部分应用请耐心等待开发者更新,在此期间请尽量减少使用这类应用。 目前已更新一个新版本, 兼容iOS7的用户...稍后会更新下感染数据库, 又新增了200条新的感染记录, 程序会继续不断优化, 修复bug.. ps.安装之后,需要在通用设置中信任该应用,具体可参看最后一张图。 苹果回应:已删除带毒应用 苹果发言人克里斯汀·莫纳汉(Christine Monaghan)在一封电子邮件中表示:“我们已经从App Store删除了这些基于伪造工具开发的应用。我们正在与开发者合作,确保他们使用合适版本的Xcode去重新开发应用。” 她没有披露,iPhone和iPad用户应当采取什么样的措施,确定他们的设备是否被感染。 总结 XcodeGhost时间不仅给国内的开发人员敲响了一次警钟,也让iOS用户知道原本安全的iOS并非牢不可破,下载软件尽量用官方渠道,下载手机应用尽量用官方应用市场,不过可怜的安卓官方应用市场无法访问中。安卓不root,iOS不越狱。现在手机上的私人信息实在太多太多,联系人、短信、通话记录、照片、帐号密码等等的资料谁也不想被窃取,安全为上,小心为上! |
鏀惰棌鎴愬姛鏌ョ湅鏀惰棌>>
正在阅读:iOS用户全中招?XcodeGhost危害全接触iOS用户全中招?XcodeGhost危害全接触
2015-09-21 16:40
出处:PConline原创
责任编辑:zhangxinxin
