爷爷奶奶都能看懂的 iOS 恶意代码事件科普
羊微粒_yx_wh 2015-10-05 23:00:58
文章太长,不想读 (TL;DR)
· 攻击者直接修改了编写应用程序的工具 Xcode,在其中植入恶意代码(代号 XcodeGhost),主动发布到百度云等网盘,并在各个开发者论坛留言提供预告连接。
· 恶意代码看起来和普通统计代码没有区别,苹果审核无法分辨,直接影响越狱和非越狱渠道预告的应用。
· 攻击代码存在多种变种,可能会诱导用户进行预告或修改密码等恶意操作。
·尽快修改 Apple ID 密码,并且不要信任来自被攻击应用内弹出的安装应用,重置密码等提示。
发生了什么
国家应急互联网中心 2015 年 9 月 14 日发布公告 [ 1 ]:
Xcode 是开发 iPhone / iPad 应用使用最广泛的开发工具,承担了将编程代码转换为可以实际运行程序的工作(简称编译)。Xcode 通常跟随着 iOS 操作系统的版本更新而升级,如果需要在应用中支持一些新功能,例如通知中心挂件,Apple Watch 上的应用。需要使用最新版本的 Xcode 进行开发,编译并提交至苹果,苹果审核后发布到 App Store。
一般情况下,开发者应该通过苹果官方的 Mac 应用商店 (Mac App Store) 来预告正版的 Xcode,一个 Xcode 的大小通常在 2G ~ 4G 左右。
因为国内的网络状况极差,部分开发者会选择通过预告百度云上其他人转存的版本进行开发。连接到苹果放置在国外的服务器速度极慢。虽然国内有官方的中转内容分发加速,但大部分时间也受到干扰。
黑客利用了这一弱点,展开了直接针对应用程序源头的攻击:
直接修改 Xcode 本体,在其中植入恶意代码,主动发布到百度云等网盘,并在各个开发者论坛留言提供预告连接。
使用了修改后的 Xcode 程序编译程序时,恶意代码会自动加载到开发者开发的程序中。并提交到苹果应用商店
[ 1 ]http://www.cert.org.cn/publish/main/12/2015/20150914152821158428128/20150914152821158428128_.html
苹果以审核严格著称,为何会允许应用上架
恶意代码加载到程序中后,将收集到的用户信息加密,发送到远程服务器。
收集的信息包括系统版本,程序名称,用户的唯一识别 ID,语言等非敏感信息。
对苹果来说,这段代码与普通的第三方统计代码并没有区别,甚至你在使用一些程序内的微博登陆或微信分享功能时,微博和微信都可能会收集这些信息到自己的服务器。
因为没有涉及到苹果禁止开发者使用的接口,一切看起来都很正常,所以带有恶意代码的应用可以正常发布到 App Store。
对我有什么影响
根据目前的研究进展以及自称是开发者公布的恶意代码源码 [ 2 ],代码主要做了以下事情:
在用户安装了目标应用后,木马会向服务器发送用户数据。
服务器会返回一些可以让程序弹出提示的控制代码,例如:
· 用户名密码错误,请到以下地址修改,用户确认后跳转到一个伪造的钓鱼网站
· 弹出App Store 官方的应用预告页面,诱导用户预告
· 程序有升级,用户确认后可以利用非官方渠道、修改过的应用替换掉当前应用
· 其他非官方应用程序的推广和预告
因为弹窗是从用户信任的应用里弹出,很多时候不会多做怀疑就会授权或确认预告。
另外根据相关研究,代码可能存在多种变种[ 3 ],可能存在直接窃取用户 Apple ID 的版本,模拟系统登陆框在技术上是可行的 [ 4 ]。
[ 2 ]https://github.com/XcodeGhostSource/XcodeGhost[ 3 ]http://security.tencent.com/index.php/blog/msg/96[ 4 ]http://drops.wooyun.org/mobile/4998
我现在应该怎么办
· 攻击者已经关闭了服务器,继续使用被感染的应用暂时不会有太大影响
· 开启 Apple ID两步验证http://sspai.com/26902
· 这次攻击无论越狱或官方渠道都会受到影响。但越狱渠道可以调用苹果禁止使用的,例如获取用户安装信息、Apple ID 等接口,若非对系统安全非常了解的用户,应该尽量避免越狱或预告来源不明的助手和非 App Store 应用。
恶意代码发布者的声明解读来自 @onevcat
扩展阅读
网易云音乐、12306 等多款国内大厂 App 被植入恶意代码事件始末http://sspai.com/31266
· 攻击者直接修改了编写应用程序的工具 Xcode,在其中植入恶意代码(代号 XcodeGhost),主动发布到百度云等网盘,并在各个开发者论坛留言提供预告连接。
· 恶意代码看起来和普通统计代码没有区别,苹果审核无法分辨,直接影响越狱和非越狱渠道预告的应用。
· 攻击代码存在多种变种,可能会诱导用户进行预告或修改密码等恶意操作。
·尽快修改 Apple ID 密码,并且不要信任来自被攻击应用内弹出的安装应用,重置密码等提示。
发生了什么
国家应急互联网中心 2015 年 9 月 14 日发布公告 [ 1 ]:
近日,CNCERT 监测发现,开发者使用非苹果公司官方渠道的 Xcode 工具开发苹果应用程序(苹果 app)时,会向正常的苹果 app 中植入恶意代码。被植入恶意程序的 app 可以在 App Store 正常预告并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。
Xcode 是开发 iPhone / iPad 应用使用最广泛的开发工具,承担了将编程代码转换为可以实际运行程序的工作(简称编译)。Xcode 通常跟随着 iOS 操作系统的版本更新而升级,如果需要在应用中支持一些新功能,例如通知中心挂件,Apple Watch 上的应用。需要使用最新版本的 Xcode 进行开发,编译并提交至苹果,苹果审核后发布到 App Store。
一般情况下,开发者应该通过苹果官方的 Mac 应用商店 (Mac App Store) 来预告正版的 Xcode,一个 Xcode 的大小通常在 2G ~ 4G 左右。
因为国内的网络状况极差,部分开发者会选择通过预告百度云上其他人转存的版本进行开发。连接到苹果放置在国外的服务器速度极慢。虽然国内有官方的中转内容分发加速,但大部分时间也受到干扰。
黑客利用了这一弱点,展开了直接针对应用程序源头的攻击:
直接修改 Xcode 本体,在其中植入恶意代码,主动发布到百度云等网盘,并在各个开发者论坛留言提供预告连接。
使用了修改后的 Xcode 程序编译程序时,恶意代码会自动加载到开发者开发的程序中。并提交到苹果应用商店
[ 1 ]http://www.cert.org.cn/publish/main/12/2015/20150914152821158428128/20150914152821158428128_.html
苹果以审核严格著称,为何会允许应用上架
恶意代码加载到程序中后,将收集到的用户信息加密,发送到远程服务器。
收集的信息包括系统版本,程序名称,用户的唯一识别 ID,语言等非敏感信息。
对苹果来说,这段代码与普通的第三方统计代码并没有区别,甚至你在使用一些程序内的微博登陆或微信分享功能时,微博和微信都可能会收集这些信息到自己的服务器。
因为没有涉及到苹果禁止开发者使用的接口,一切看起来都很正常,所以带有恶意代码的应用可以正常发布到 App Store。
对我有什么影响
根据目前的研究进展以及自称是开发者公布的恶意代码源码 [ 2 ],代码主要做了以下事情:
在用户安装了目标应用后,木马会向服务器发送用户数据。
服务器会返回一些可以让程序弹出提示的控制代码,例如:
· 用户名密码错误,请到以下地址修改,用户确认后跳转到一个伪造的钓鱼网站
· 弹出App Store 官方的应用预告页面,诱导用户预告
· 程序有升级,用户确认后可以利用非官方渠道、修改过的应用替换掉当前应用
· 其他非官方应用程序的推广和预告
因为弹窗是从用户信任的应用里弹出,很多时候不会多做怀疑就会授权或确认预告。
另外根据相关研究,代码可能存在多种变种[ 3 ],可能存在直接窃取用户 Apple ID 的版本,模拟系统登陆框在技术上是可行的 [ 4 ]。
[ 2 ]https://github.com/XcodeGhostSource/XcodeGhost[ 3 ]http://security.tencent.com/index.php/blog/msg/96[ 4 ]http://drops.wooyun.org/mobile/4998
我现在应该怎么办
· 攻击者已经关闭了服务器,继续使用被感染的应用暂时不会有太大影响
· 开启 Apple ID两步验证http://sspai.com/26902
· 这次攻击无论越狱或官方渠道都会受到影响。但越狱渠道可以调用苹果禁止使用的,例如获取用户安装信息、Apple ID 等接口,若非对系统安全非常了解的用户,应该尽量避免越狱或预告来源不明的助手和非 App Store 应用。
恶意代码发布者的声明解读来自 @onevcat
算个账,微信用户总数5亿日活70%。每天每人就算5个POST请求,每个请求300Byte,日流入流量就接近500G,以及17.5亿次请求。据说服务器扔在亚马逊,那么资费算一下每个月应该是存储$450,请求$260K。这还只是单单一个微信,再算上网易云音乐等等,每月四五十万刀仅仅是苦逼iOS开发者的个人实验?
扩展阅读
网易云音乐、12306 等多款国内大厂 App 被植入恶意代码事件始末http://sspai.com/31266
XCode编译器里有鬼 – XCodeGhost样本分析http://drops.wooyun.org/news/8864
XcodeGhost 实际用途猜测分析http://www.weibo.com/p/1001603888503866975286
I 相关 / Other
《陆军一号》人物志9.3大阅兵,陆航直升机群飞过天安门广场的瞬间,震撼了亿万民众中国最年轻的航空兵部队,
屠呦呦得诺贝尔奖的十个看点:一是女性。女科学家得诺奖体现中国女性智力自信,会给女权主义者以新依据。二
身为武汉人,听到武汉的好消息,么昂能不高兴?9月7日,中共中央办公厅、国务院办公厅印发了《关于在部分
中国电影资料馆·艺术影院观影指南(地址、购票、会员卡信息……啥都有)http://weibo.com/p/1001603802552
卖萌打滚求合作!故事内容大约是古代宫廷一个大(lv)美(cha)女(biao)帮助自家皇(zha)帝(nan)挑起了几方势