新版 XcodeGhost 病毒已經支援 iOS 9,並且更難發現

作者 | 發布日期 2015 年 11 月 04 日 14:27 | 分類 Apple , iOS , 資訊安全 follow us in feedly

據 ThreatPost 報導,網路安全團隊 FireEye 發現,最近一次升級後,新版的 XcodeGhost 已經開始支持開發 iOS 9 App 的 Xcode 7,並且採用了新的技術使自己更難被檢測出來。



新版 iOS 只允許 HTTPS 加密連接,但蘋果也允許了開發者在某些例外情況下使用非加密連接。新版的 XCodeGhost 正是利用了這種例外情況,連接到 XCodeGhost 的 C&C (命令控制伺服器)傳輸使用者洩露的資料。

為了避免被基於靜態檢測的安全工具所發現,XcodeGhost 還透過一種新技術來掩蓋其 C&C 伺服器。其代碼中不再使用硬編碼位址,而是轉而採用了按字元來組裝的 URL。

FireEye 稱,iOS 9 版的 XCodeGhost 同時也引入了新的混淆機制,使它更難被發現。

FireEye 已經將發現報告給蘋果,並且發現一款名為「自由邦」的旅行 App 感染了新版的 XcodeGhost 病毒。目前這款 App 已經被中國區和美國區 App Store 下架。

此外,FireEye 還指出,感染了 XcodeGhost 病毒的 App 已經不再限於中國區的 App Store,在全球都有分發。

今年 9 月中旬,有消息爆出中國多個廠商的大牌應用程式,使用了協力廠商途徑下載的 Xcode 開發工具(非 Apple 正規途徑),用了這個「李鬼開發工具」編譯出來的 App,被注入了協力廠商的代碼,會向一個網站(http://init.icloud-analysis.com)上傳使用者資料,這個網站是病毒作者用來收集使用者資料的,而這個潛在了極大危害的病毒名就叫 XcodeGhost。

一開始,關注此事的 iOS 開發者並沒有太重視,但在仔細察看研究之後,發現這個病毒的危害被低估了。

比如,在中毒的應用程式中進行一次 IAP(In-App Purchase,智慧行動終端應用程式付費的模式)內購,此時輸入的密碼或者 Touch ID 後,就有加密資料發往目標伺服器,現在不清楚加密資訊是什麼。因此,下載了中招應用程式的使用者密碼都存在洩露的危險。

不少廠商都及時更新了自己的 App,蘋果也在官網給出相關的解釋

(本文由 愛范兒 授權轉載)

延伸閱讀:

發表迴響