新足迹

 找回密码
 注册

精华好帖回顾

· The Gist of Gita<全文完> (2005-7-13) NT · SK世界流行音乐之 影视大片音乐之王 约翰威廉姆斯 (2008-9-22) steveking
· 三言两语 (2010-1-3) 飞儿 · 行云流水之四川-成都 (2004-12-21) ivy_cn
Advertisement
Advertisement
查看: 5439|回复: 35

所有iPhone用户,立即更新微信,并修改Apple ID密码 [复制链接]

发表于 2015-9-21 15:24 |显示全部楼层
此文章由 陈叁 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 陈叁 所有!转贴必须注明作者、出处和本声明,并保持内容完整
关于XCodeGhost事件,现在已经可以确认,腾讯最早在9月12日就在自家的微信上发现了这一问题,但是他们除了立即更新修复了自己的微信以外,并没有公布这一重大漏洞。一直等到了微信新版本在App Store上线后,才公开宣布他们发现了这一问题。

这次发现的漏洞非常严重,腾讯自己发表了一篇文章解释了漏洞的严重性。

http://security.tencent.com/index.php/blog/msg/96

你以为这就是全部了?我们来告诉你完整的XCodeGhost事件


博文作者:Gmxp

发布日期:2015-09-19

阅读次数:121584

博文内容:


前言

        这几天安全圈几乎被XCodeGhost事件刷屏,大家都非常关注,各安全团队都很给力,纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后,我们认为,这还不是全部,所以我们来补充下完整的XCodeGhost事件。

        由于行文仓促,难免有诸多错漏之处,还望同行批评指正。

事件溯源


        不久前,我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量,行为非常可疑,于是终端安全团队立即跟进,经过加班加点的分析和追查,我们基本还原了感染方式、病毒行为、影响面。

        随后,产品团队发布了新版本。同时考虑到事件影响面比较广,我们立即上报了CNCERT,CNCERT也马上采取了相关措施。所以从这个时间点开始,后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。

        接到我们上报信息后,CNCERT发布了这个事件的预警公告。我们也更新了移动APP安全检测系统“金刚”。


图1 CNCERT发布的预警公告

        9月16日,我们发现AppStore上的TOP5000应用有76款被感染,于是我们向苹果官方及大部分受影响的厂商同步了这一情况。

        9月17日,嗅觉敏锐的国外安全公司paloalto发现了这个问题,并发布第一版分析报告

        接下来的事情大家都知道了,XCodeGhost事件迅速升温,成为行业热点,更多的安全团队和专家进行了深入分析,爆出了更多信息。

被遗漏的样本行为分析

1)在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器

        上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。

       上报的域名是icloud-analysis.com,同时我们还发现了攻击者的其他三个尚未使用的域名。


图2 上传机器数据的恶意代码片段

2)黑客可以下发伪协议命令在受感染的iPhone中执行

        黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。

       相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。


图3 控制执行伪协议指令的恶意代码片段

3)黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口

        和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书APP。装APP干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?


图4 控制远程弹窗的恶意代码片段

4)远程控制模块协议存在漏洞,可被中间人攻击

        在进行样本分析的同时,我们还发现这个恶意模块的网络协议加密存问题,可以被轻易暴力破解。我们尝试了中间人攻击,验证确实可以代替服务器下发伪协议指令到手机,成为这些肉鸡的新主人。


图5 存在安全漏洞的协议解密代码片段

        值得一提的是,通过追查我们发现植入的远程控制模块并不只一个版本。而现已公开的分析中,都未指出模块具备远程控制能力和自定义弹窗能力,而远程控制模块本身还存在漏洞可被中间人攻击,组合利用的威力可想而知。这个事件的危害其实被大大的低估了。

感染途径

        分析过程中我们发现,异常流量APP都是大公司的知名产品,也是都是从AppStore下载并具有官方的数字签名,因此并不存在APP被恶意篡改的可能。随后我们把精力集中到开发人员和相关编译环境中。果然,接下来很快从开发人员的xcode中找到了答案。

       我们发现开发人员使用的xcode路径Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下,存在一个名为CoreServices.framework的“系统组件”,而从苹果官方下载的xcode安装包,却不存在这些目录和“系统组件”。


图6 被感染恶意代码的xcode包路径

        原来开发人员的xcode安装包中,被别有用心的人植入了远程控制模块,通过修改xcode编译参数,将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac)中。

        水落石出了,罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。

        通过百度搜索“xcode”出来的页面,除了指向苹果AppStore的那几个链接,其余的都是通过各种id(除了coderfun,还有使用了很多id,如lmznet、jrl568等)在各种开发社区、人气社区、下载站发帖,最终全链到了不同id的百度云盘上。为了验证,团队小伙伴们下载了近20个各版本的xcode安装包,发现居然无一例外的都被植入了恶意的CoreServices.framework,可见投放这些帖子的黑客对SEO也有相当的了解。


图7 XCodeGhost作者在知名论坛上发布xcode的下载帖

        进一步来看,攻击者做到的效果是只要是通过搜索引擎下载xcode,都会下载到他们的XCodeGHost,还真的做到了幽灵一样的存在。

影响面

        在清楚危害和传播途径后,我们意识到在如此高级的攻击手法下,被感染的可能不只一个两个APP,于是我们马上对AppStore上的APP进行检测。

        最后我们发现AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这次事件影响的用户数超过一亿。

后记

        经过这一事件后,开发小伙伴们纷纷表示以后只敢下官方安装包,还要MD5和SHA1双校验。而这个事件本身所带来的思考,远不止改变不安全的下载习惯这么简单。

        经过这两年若干次攻击手法的洗礼后,我们更加清醒的意识到,黑产从业者早已不是单兵作战的脚本小子,而是能力全面的黑客团队。

        总结来看,移动互联网安全之路任重道远。当然,这里的危机也是安全行业的机遇。

评分

参与人数 4积分 +16 收起 理由
future2521 + 5 你太有才了
好为人师 + 3 感谢分享
lingyang + 5 感谢分享

查看全部评分

江南有佳丽 生于帝王州 繁花未曾见 王谢纸上闻
茕茕影孑立 烟雨两凄迷 凭栏望楼台 四百寺安在
Advertisement
Advertisement

发表于 2015-9-21 17:13 |显示全部楼层
此文章由 jeffyunli722 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jeffyunli722 所有!转贴必须注明作者、出处和本声明,并保持内容完整
安全问题 严重关注。

感谢分享

发表于 2015-9-21 17:16 |显示全部楼层
此文章由 jiaxipan 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jiaxipan 所有!转贴必须注明作者、出处和本声明,并保持内容完整
关注

发表于 2015-9-21 17:16 |显示全部楼层
此文章由 prinze 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 prinze 所有!转贴必须注明作者、出处和本声明,并保持内容完整
谢谢分享,那怎么才能彻底检测呢?出厂重置iphone?或者删掉所有app?

发表于 2015-9-21 17:19 |显示全部楼层
此文章由 angelafanhui 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 angelafanhui 所有!转贴必须注明作者、出处和本声明,并保持内容完整

发表于 2015-9-21 17:24 |显示全部楼层
此文章由 sunkwaicn 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 sunkwaicn 所有!转贴必须注明作者、出处和本声明,并保持内容完整
问题是腾讯当时为啥会使用非官方的xcode?
Advertisement
Advertisement

发表于 2015-9-21 17:31 |显示全部楼层
此文章由 好为人师 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 好为人师 所有!转贴必须注明作者、出处和本声明,并保持内容完整
升级微信就可以了吗?

发表于 2015-9-21 17:33 |显示全部楼层
此文章由 August2010 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 August2010 所有!转贴必须注明作者、出处和本声明,并保持内容完整
一直没有提示升级微信啊?

发表于 2015-9-21 17:53 |显示全部楼层
此文章由 猪宝 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 猪宝 所有!转贴必须注明作者、出处和本声明,并保持内容完整
Ipad 的怎么办?也要删了重装?被感染的微信啥版本?升级到最新的就可以了吗?

发表于 2015-9-21 18:01 |显示全部楼层
此文章由 othello 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 othello 所有!转贴必须注明作者、出处和本声明,并保持内容完整

发表于 2015-9-21 18:05 |显示全部楼层
此文章由 渡澜 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 渡澜 所有!转贴必须注明作者、出处和本声明,并保持内容完整
看不懂,要咋办。。。。
Advertisement
Advertisement

发表于 2015-9-21 18:17 |显示全部楼层
此文章由 Robin NSW 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 Robin NSW 所有!转贴必须注明作者、出处和本声明,并保持内容完整
这说明微信使用盗版的XCodeGHost开发的?

发表于 2015-9-21 18:18 |显示全部楼层
此文章由 潜水老虎 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 潜水老虎 所有!转贴必须注明作者、出处和本声明,并保持内容完整
说白了就是腾讯要补偿任何损失

发表于 2015-9-21 18:23 |显示全部楼层
此文章由 bulaohu 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 bulaohu 所有!转贴必须注明作者、出处和本声明,并保持内容完整
MD5和SHA1双校检?脱裤子放屁嘛

还是养成基本的工作规范,表去百度云盘下载工作上要用的东西比较靠谱

发表于 2015-9-21 18:27 |显示全部楼层
此文章由 aqu 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 aqu 所有!转贴必须注明作者、出处和本声明,并保持内容完整
关注

发表于 2015-9-21 18:28 |显示全部楼层
此文章由 星星眼 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 星星眼 所有!转贴必须注明作者、出处和本声明,并保持内容完整
真需要删了重新装?很多东西就丢了吧
Advertisement
Advertisement

发表于 2015-9-21 18:30 |显示全部楼层
此文章由 juvenMPG 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 juvenMPG 所有!转贴必须注明作者、出处和本声明,并保持内容完整
全篇文章没有说到过任何关于apple Id的内容阿?

请问要“修改Apple ID密码”的原因和出处?

发表于 2015-9-21 19:05 |显示全部楼层
此文章由 trafy 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 trafy 所有!转贴必须注明作者、出处和本声明,并保持内容完整
那些人为什么要用XCodeGHost?并且为什么都是中国的软件在用?

发表于 2015-9-21 19:09 |显示全部楼层
此文章由 陈叁 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 陈叁 所有!转贴必须注明作者、出处和本声明,并保持内容完整
juvenMPG 发表于 2015-9-21 17:30
全篇文章没有说到过任何关于apple Id的内容阿?

请问要“修改Apple ID密码”的原因和出处? ...

见样本行为分析第三条

攻击者可以控制手机上弹窗,也就是可以伪造App Store登陆窗口。只要你输入过Apple ID,都有泄露的隐患。

修改用户名和密码,是防患于未然,以防万一。

其实更保险的做法,除了修改密码之外,最好是手机恢复出厂设置,然后近期不要安装任何中国开发者的软件,等待各个开发者更新自己的软件。不过这一条估计大多数人做不到。
江南有佳丽 生于帝王州 繁花未曾见 王谢纸上闻
茕茕影孑立 烟雨两凄迷 凭栏望楼台 四百寺安在

2008年度奖章获得者

发表于 2015-9-21 19:48 来自手机 |显示全部楼层
此文章由 degra 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 degra 所有!转贴必须注明作者、出处和本声明,并保持内容完整
Xcode 官网在中国下载应该是很很慢,估计程序猿就从国内非官方镜像下载了

2008年度奖章获得者

发表于 2015-9-21 19:48 来自手机 |显示全部楼层
此文章由 degra 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 degra 所有!转贴必须注明作者、出处和本声明,并保持内容完整
Xcode 官网在中国下载应该是很很慢,估计程序猿就从国内非官方镜像下载了
Advertisement
Advertisement

发表于 2015-9-21 19:54 |显示全部楼层
此文章由 知足者常乐 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 知足者常乐 所有!转贴必须注明作者、出处和本声明,并保持内容完整
好像挺可怕,但不知道怎么办
头像被屏蔽

禁止发言

发表于 2015-9-21 20:10 |显示全部楼层
此文章由 future2521 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 future2521 所有!转贴必须注明作者、出处和本声明,并保持内容完整
最近没输入过密码应该就没事

发表于 2015-9-21 20:26 |显示全部楼层
此文章由 陈叁 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 陈叁 所有!转贴必须注明作者、出处和本声明,并保持内容完整
future2521 发表于 2015-9-21 19:10
最近没输入过密码应该就没事

不一定。虽然攻击者自己的网站已经倒了。但是一个简单的DNS欺骗就可以让其他攻击者继续利用这个漏洞。

在澳大利亚还相对好点,在中国的话,各类公共Wi-Fi都是重灾区。
江南有佳丽 生于帝王州 繁花未曾见 王谢纸上闻
茕茕影孑立 烟雨两凄迷 凭栏望楼台 四百寺安在
头像被屏蔽

禁止发言

发表于 2015-9-21 20:38 |显示全部楼层
此文章由 future2521 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 future2521 所有!转贴必须注明作者、出处和本声明,并保持内容完整
陈叁 发表于 2015-9-21 19:26
不一定。虽然攻击者自己的网站已经倒了。但是一个简单的DNS欺骗就可以让其他攻击者继续利用这个漏洞。

...

不过说点气话

那些随便到一个地方就找免费Wifi蹭网的,确实该被坑几次。

占小便宜吃大亏,现在得上课交学费才能明白了。
签名被屏蔽

发表于 2015-9-22 12:37 |显示全部楼层
此文章由 jimmyliz 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 jimmyliz 所有!转贴必须注明作者、出处和本声明,并保持内容完整
悲剧 觉得是apple 开始没落的预兆
Advertisement
Advertisement

发表于 2015-9-22 14:04 |显示全部楼层
此文章由 iamii 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 iamii 所有!转贴必须注明作者、出处和本声明,并保持内容完整
这么点小事取这么大标题。

上海派出所有个同学,说隔三差五就有人报警说手机银行被莫名其妙地扣钱了,都是安卓手机。

不用智能手机才能保平安啊。

发表于 2015-9-22 14:14 |显示全部楼层
此文章由 六耳猴桃 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 六耳猴桃 所有!转贴必须注明作者、出处和本声明,并保持内容完整
前天晚上上网时微信突然掉线提示账号密码异常,赶紧再次登陆,第一次没上去,第二次上去了,发现不知是谁已经把加我为好友需要本人验证这项关了,难道我已经中招了?求大侠们解惑!

发表于 2015-9-23 11:33 |显示全部楼层
此文章由 大杨树 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 大杨树 所有!转贴必须注明作者、出处和本声明,并保持内容完整
jimmyliz 发表于 2015-9-22 11:37
悲剧 觉得是apple 开始没落的预兆

这个事件关 apple什么事情?
如实正观世间集,如实正观世间灭;不说世间无,不说世间有。

发表于 2015-9-23 11:34 |显示全部楼层
此文章由 大杨树 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 大杨树 所有!转贴必须注明作者、出处和本声明,并保持内容完整
陈叁 发表于 2015-9-21 19:26
不一定。虽然攻击者自己的网站已经倒了。但是一个简单的DNS欺骗就可以让其他攻击者继续利用这个漏洞。

...

楼主,我的iphone除了出厂带的,没装任何软件,就没事儿了吧?
如实正观世间集,如实正观世间灭;不说世间无,不说世间有。

发表回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Advertisement
Advertisement
返回顶部