发布者认证信息(营业执照和身份证)未完善,请登录后完善信息登录
 总算清楚至少76款苹果app被置病毒 受影响用户超1亿 - 客集网
Hi,你好,欢迎来到客集网
  • 产品
  • 求购
  • 公司
  • 展会
  • 招商
  • 资讯
  • 解梦
当前位置: 首页 » 资讯 » 电子商务 找商家、找信息优选VIP,安全更可靠!
总算清楚至少76款苹果app被置病毒 受影响用户超1亿
发布日期:2022-12-07 20:42:37  浏览次数:12

 

[摘要]移动互联网安全之路任重道远。当然,这里的危机也是安全行业的机遇。

腾讯科技讯 腾讯安全应急响应中心近日发布文章,就近日发生的在App Store上架的网易云音乐等多个应用被注入Xcode第三方恶意代码事件进行全面剖析,预计至少76款苹果应用被病毒入侵,受影响用户超过一亿。以下为原文:

前言

这几天安全圈几乎被XCodeGhost事件刷屏,大家都非常关注,各安全团队都很给力,纷纷从不同角度分析了病毒行为、传播方式、影响面积甚至还人肉到了作者信息。拜读了所有网上公开或者半公开的分析报告后,我们认为,这还不是全部,所以我们来补充下完整的XCodeGhost事件。

由于行文仓促,难免有诸多错漏之处,还望同行批评指正。

事件溯源

事情要追溯到一周前。

9月12日,我们在跟进一个bug时发现有APP在启动、退出时会通过网络向某个域名发送异常的加密流量,行为非常可疑,于是终端安全团队立即跟进,经过一个周末加班加点的分析和追查,我们基本还原了感染方式、病毒行为、影响面。

9月13日,产品团队发布了新版本。同时考虑到事件影响面比较广,我们立即知会了CNCERT,CNCERT也马上采取了相关措施。所以从这个时间点开始,后续的大部分安全风险都得到了控制——可以看看这个时间点前后非法域名在全国的解析情况。

9月14日,CNCERT发布了这个事件的预警公告。我们也更新了移动APP安全检测系统“金刚”。

图1 CNCERT发布的预警公告

9月16日,我们发现AppStore上的TOP5000应用有76款被感染,于是我们向苹果官方及大部分受影响的厂商同步了这一情况。

9月17日,嗅觉敏锐的国外安全公司paloalto发现了这个问题,并发布第一版分析报告,阿里移动安全也发布了分析报告。

接下来的事情大家都知道了,XCodeGhost事件迅速升温,成为行业热点,更多的安全团队和专家进行了深入分析,爆出了更多信息。

被遗漏的样本行为分析

1、在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器

上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。

上报的域名是icloud-,同时我们还发现了攻击者的其他三个尚未使用的域名。

图2 上传机器数据的恶意代码片段

2、黑客可以下发伪协议命令在受感染的iPhone中执行

黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。

相信了解iOS开发的同学都知道openURL这个API的强大,黑客通过这个能力,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。实际上,iPhone上的APP如果被感染,完全可以理解为黑客已经基本控制了你的手机!

图3 控制执行伪协议指令的恶意代码片段

3、黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口

和远程执行指令类似,黑客也可以远程控制弹出任何对话框窗口。至于用途,将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来,反正我们是能够通过这几个功能,用一点点社工和诱导的方式,在受感染的iPhone中安装企业证书APP。装APP干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?

图4 控制远程弹窗的恶意代码片段

首页<上一页12下一页>尾页
VIP企业最新发布
最新VIP企业
背景开启

客集网是一个开放的平台,信息全部为用户自行注册发布!并不代表本网赞同其观点或证实其内容的真实性,需用户自行承担信息的真实性,图片及其他资源的版权责任! 本站不承担此类作品侵权行为的直接责任及连带责任。

如若本网有任何内容侵犯您的权益,请联系 QQ: 1130861724

网站首页 | 信息删除 | 付款方式 | 关于我们 | 联系方式 | 使用协议 | 版权隐私 | 网站地图 (c)2014-2024 Rights Reserved 鄂公网安备42018502007153 SITEMAPS 联系我们 | 鄂ICP备14015623号-21

返回顶部