注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

ceo.lin的博客

 
 
 

日志

 
 
关于我

來自清貧的純樸鄉村.漂泊他鄉為異客.事業,親情,心靈的世界誰作主!

网易考拉推荐

iOS App 安全危機,XcodeGhost 木馬入侵多款中國軟體  

2015-09-20 22:03:59|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
xcode-hero
在我們的印象中,蘋果出品的 Mac 和 iOS 裝置一向以安全著稱,反倒是用戶範圍廣得多的 Windows 裝置和 Android 裝置在安全問題上被詬病頗多。但是這種固有印象如今已經面臨了諸多挑戰,Mac 之前已經局部崩潰,這一次 iOS 裝置則面臨了非常嚴峻的危機。

危機來自第三方 Xcode 工具

中國多個廠商的大牌應用使用了第三方途徑下載的 Xcode 開發工具(非 Apple 正規途徑),用了這個「李鬼開發工具」編譯出來的 App 被注入了第三方的程式碼,會向一個網站(http://init.icloud-analysis.com)上傳使用者資料,這個網站是病毒作者用來收集用戶資料的,而這個潛在了極大危害的病毒名叫 XcodeGhost。

Xcode 是運行在作業系統 Mac OS X 上的集成開發工具(IDE),由蘋果公司開發,是開發 OS X 和 iOS 應用軟體的最快捷最普遍的方式。

根據安全網站 Wooyun 的披露,即使把蘋果官網上的下載 URL 複製到迅雷裡下載,最終下載到的還是一個有毒的第三方 Xcode 開發工具,同理,另外從百度網盤上下載的 Xcode 編譯器也中招了,目前來看,除了從蘋果官方直接下載之外,任何第三方來源,甚至第三方下載通路的 Xcode 工具都不能保證安全。

來自 Wooyun 的文章稱

雖然 XCodeGhost 並沒有非常嚴重的惡意行為,但是這種病毒傳播方式在 iOS 上還是首次。也許這只是病毒作者試試水溫而已,可能隨後還會有更大的動作,請開發者務必要小心。這個病毒讓我想到了 UNIX 之父 Ken Thompson 的圖靈獎演講 「Reflections of Trusting Trust」。他曾經假設可以實現了一個修改的 tcc,用它編譯 su login 能產生後門,用修改的 tcc 編譯 「正版」 的 tcc 程式碼也能夠產生有著同樣後門的 tcc。也就是不論 bootstrap (用 tcc 編譯 tcc) 多少次,不論如何查看源碼都無法發現後門,真是細思恐極啊。

並且,在後續的追蹤中,發現 http://init.icloud-analysis.com 這個網站的服務器已經關閉,也挖掘不到太多訊息,目前也還找不到這個老道病毒作者的痕跡。

也有網友舉證說,有網名為「coderfun」的投毒者在各種 iOS 開發者論壇或者微博下留言放下載地址引誘 iOS 開發者下載有毒版本的 Xcode。並且中毒的版本不止 Xcode 6.4,還有 6.1,6.2 和 6.3 等等。

哪些應用中招了?

不廢話,直接列表:

  • 微信 6.2.5
  • 網易雲音樂
  • 滴滴出行
  • 滴滴打車
  • 12306
  • 中國聯通手機營業廳
  • 高德地圖
  • 簡書
  • 豌豆莢的開眼
  • 網易公開課
  • 下廚房
  • 51 卡保險箱
  • 同花順
  • 中信銀行動卡空間
  • 2015-09-20_001238

    對台灣用戶影響比較大應該是微信 6.2.5 版。 公司也發布公告請用戶盡速升級。

    這是 iOS 開發者圖拉鼎自己測試的結果,上述是目前已經確定的名單,按照這個態勢,後續中招的 iOS 應用極有可能(實際上應該是一定會)繼續擴大。並且這個名單中還有很多金融股票相關的,潛在危害難以估量。

  • 在 XcodeGhost 病毒被曝光後,被確認中招的網易雲音樂馬上發布公告:

    「這次感染設計訊息皆為產品的系統訊息,無法調取和洩露用戶的個人訊息。目前感染製作者的伺服器已經關閉,不會再產生任何威脅。」

    但是事實真的如此嗎?

    實際危害在哪裡?

    一開始的時候,關注此事的 iOS 開發者表示這個事情的危害並不大,在隱私問題多多的現今,這種程度的洩露算不得什麼。但是!在仔細查察研究之後,這些人收回了前面的言論。

    四葉新媒體聯合創始人,微博用戶 Saic 稱

    「拿文件看了一下,這個木馬劫持了所有系統的彈出視窗(例如 IAP 支付),然後向目標伺服器發送了加密數據,目前還不知怎麼解密發出去的請求。」

    比方說,在中毒的應用程式中進行一次 IAP(In-App Purchase,智慧行動裝置應用程式付費的模式)內購,比如網易雲音樂中的 Taylor Swift 音樂包,此時輸入的密碼或者 Touch ID 後,就有加密數據發往目標服務器,現在不清楚加密信息是什麼。因此,下載了中招應用程式的用戶的密碼都存在著洩露的危險。

    所以,網易雲音樂公告所說的「目前感染製作者的伺服器已經關閉,不會再產生任何威脅」沒有錯,但是,之前已經有許多訊息被發往了目標伺服器了,網易等中招應用甩鍋的話,不能無視這一致命的前提。

    開發者和用戶該怎麼做

    iOS 開發者周楷雯說,做為開發者,首先檢校自己的 Xcode 開發工具是否中招,一切從第三方網站或者下載工具下載的 Xcode 都要刪除,包括從用官方地址透過迅雷來下載的,立即使用直接從官方 App Store 下載的最新版 Xcode 也是必須要動作。iOS 開發者圖拉鼎在微博上還稱,有條件的公司應該在今天開始專門設置一台有專人管理的 Build Server,所有發布至 App Store 的 App 只能從該台電腦 Build 並發布,以防止未來此類事件的再現。

    至於用戶,目前能做的除了祈禱自己不要洩露敏感訊息之外,第一時間做的肯定還是修改各種在 iOS 裝置上使用過的密碼,尤其是 iCloud 密碼,並且開啟兩步驗證,構築密碼之外的防火牆。

  评论这张
 
阅读(21)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016