IT爆料汇
首发于IT爆料汇
深扒300款iOS应用被植入恶意代码事件始末

深扒300款iOS应用被植入恶意代码事件始末

首先回顾下这次事件的来龙去脉,国家互联网应急中心于2015 年 9 月 14 日发布公告 ,称部分app使用非苹果官方Xcode存在植入恶意代码的情况。





但是,从后来9月19日腾讯安全应急响应中心发布的文章中得知,国家互联网应急中心的公告是在得到腾讯上报后发出的。



直到9月17日之前,并未引起太多关注,将XcodeGhost 事件在网上发酵的是9月17日猿题库iOS开发工程师唐巧的一条个人微博,引起了网友的转发和评论,该微博称:“一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入,检测方式见附图。 ”




这个带病毒版本Xcode是来自于coderfun的百度网盘分享,此百度网盘分享了大量的Xcode,最后一次更新还是很久以前。目前其已经取消所有网盘的分享。




另外网友发现:随便找了一下这个coderfun的记录,根据发帖记录显示,此人从很久之前(6个月前)就开始大批量的推广他的带有恶意代码的Xcode,并且在多个常见的iOS开发论坛进行推广下载:




随后,陆续有中招的app被发现。9月18日,微博用户@图拉鼎发布了由他测试验证受感染的 APP。其中提到的有网易云音乐、滴滴出行、以及12306。




接着一大批受感染app名单曝光,来自360网络攻防实验室的排查。




事件的一个转折点出现在9月19日早上4:40,自称是XcodeGhost事件的始作俑者以 @XcodeGhost-Author 的身份在新浪微博贴出致歉声明,称其只是一个实验性项目,并没有任何包含威胁性的行为。并公开了源码。




但对其回复的真实性质疑者居多,微博用户 @矮穷龊-陆羽 回应:


我们3点多发微博,4点都你的稿子就出来了,是因为身份暴漏了。所以发这个帖子么?姑且不说你是不是真的作者,如果真的是,你的解释是不同的,因为域名注册早在2015年2月25日,而CIA后门稿子在3月12日,大规模传播在3月13日,你是先知么?另外后长期续一系列的隐藏和变换身份的操作,就说明你是蓄意的!


微博用户@onevcat解读:


算个账,微信用户总数5亿日活70%。每天每人就算5个POST请求,每个请求300Byte,日流入流量就接近500G,以及17.5亿次请求。据说服 务器扔在亚马逊,那么资费算一下每个月应该是存储$450,请求$260K。这还只是单单一个微信,再算上网易云音乐等等,每月四五十万刀仅仅是苦逼 iOS开发者的个人实验?


9月21日上午,苹果终于出来回应,苹果发言人克里斯汀·莫纳汉(Christine Monaghan)在一封电子邮件中表示:“我们已经从App Store删除了这些基于伪造工具开发的应用。我们正在与开发者合作,确保他们使用合适版本的Xcode去重新开发应用。”


Xcode是什么,恶意程序如何入侵?


Xcode 是苹果公司的官方开发工具,运行在操作系统 Mac OS X 上,是目前开发者开发 Mac OS 和 iOS 应用程序的最普遍的方式。


XcodeGhost 病毒主要通过非官方下载的 Xcode 传播,能够在开发过程中通过 CoreService 库文件进行感染,使编译出的 App 被注入第三方的代码,向指定网站上传用户数据。


Xcode官方下载渠道是在Mac App Store 里下载,但是很多使用Mac笔记本的网友应该了解,Mac App Store 总是很难打开的样子。因此有些着急程序员为了方便,直接使用了国内的下载工具下载,因而也就下载到了带有XcodeGhost 病毒的Xcode。


直接修改 Xcode 本体,在其中植入恶意代码,主动发布到百度云等网盘,并在各个开发者论坛留言提供下载连接。


使用了修改后的 Xcode 程序编译程序时,恶意代码会自动加载到开发者开发的程序中。并提交到苹果应用商店。


对用户到底有什么影响?


Clover 四叶新媒体联合创始人Saic在微博上发布一篇名为《爷爷奶奶都能看懂的iOS恶意代码事件科普》其中提到:


根据目前的研究进展以及自称是开发者公布的恶意代码源码,代码主要做了以下事情:


在用户安装了目标应用后,木马会向服务器发送用户数据。


服务器会返回一些可以让程序弹出提示的控制代码,例如:


·用户名密码错误,请到以下地址修改,用户确认后跳转到一个伪造的钓鱼网站


· 弹出 App Store 官方的应用下载页面,诱导用户下载


· 程序有升级,用户确认后可以利用非官方渠道、修改过的应用替换掉当前应用


· 其他非官方应用程序的推广和下载


因为弹窗是从用户信任的应用里弹出,很多时候不会多做怀疑就会授权或确认下载。


另外根据相关研究,代码可能存在多种变种 ,可能存在直接窃取用户 Apple ID 的版本,模拟系统登陆框在技术上是可行的。


严格的苹果审核流程,为何出错?


按照苹果的正常审核流程,App通常至少要进行一周的严格审核,且在此事件之前,App Store一共只发现过5款恶意应用。这次的恶意程序是如何趁虚而入,骗过了App Store得以上架的?


据乌云白帽子王彪透露,这些病毒收集信息包括时间、bundle id(包名)、应用名称、系统版本、语言、国家等,目前看到还没有用户敏感信息,加之国内一些APP也会收集同样的信息,苹果可能有疏忽让病毒趁虚而入。


也就是说对于苹果来说,这段恶意代码与普通的第三方统计代码并没有区别,因为并没有涉及到苹果禁止开发者使用的接口,所以带有恶意代码的应用可以正常发布到 App Store。


最后,是知乎网友对此事的评价,很多时候网络安全我们都没有在意,但当它真正发生了才会令你细思极恐。


@Belleve:这是个处心积虑、策划多年的骗局,其手法之高明,说明攻击者要么是经验丰富的老道黑客,要么就是有专业的黑产公司。不同于之前时候那些依靠力量的攻击,这个骇客成功地实现了四两拨千斤,用最少的资源获取到了最多的隐私资料,而且过了甚久才被察觉。这次的攻击绝对可以载入史册,绝对的。


@yang leonier:这应当是App Store 2008年上线以来遭受的规模最大的攻击,涉及应用之广已经完全超过想象,若非发现及时,此病毒再增加更丰富的机能(如对密码输入框进行hook等)之后,可能成为中国历史甚至世界历史上涉案金额最高的黑客事件之一。


@谢弘:不少用户对 iOS 的生态的信任感遭到破坏,这一点是我感到最大的损失,尤其是很多人非黑即白的眼中,出了问题很容易推出“ iOS 很危险”的奇怪结论,就算发生这种事情,我认为 iOS 目前还是最好的移动操作系统之一,目前出问题的 App 以 360 扫描的成果为例,不到总数的 0.5%,多数国民级别的 App 并没受到影响。(但是还是建议不管使用什么 Android 还是 iOS,都要增强自己的安全意识。定期修改重要账户的密码以及重要账户不要使用同一个密码是非常关键的事情。)

发布于 2015-09-22

文章被以下专栏收录

    专注IT互联网圈的内幕爆料、干货分享。IT巨头、业界大佬的小道消息、有用干货通通以八卦窥视、犀利解说、专业剖析的方式为您抢鲜披露!