安全专家周五表示,黑客完成了一项前所未有的壮举,诱使不知情的开发人员在数千个 iOS 应用程序中加载广告软件。
当被问及顶级应用程序系统是否曾经通过第一方开发工具感染时,加利福尼亚州米尔皮塔斯市网络安全公司 FireEye 的移动开发高级总监 Raymond Wei 表示:“这是我记忆中的第一个例子。”
Wei 指的是被中国研究人员称为“XcodeGhost”的黑客活动,该活动采用了一种非常不寻常的方法,将恶意代码引入通过分发的 iOS 应用程序中。苹果的应用商店。 XcodeGhost 黑客没有将攻击代码注入到单个应用程序中,然后尝试让其通过 Apple 的自动和人工审核员,而是感染了 Xcode,这是 Apple 的集成软件开发工具套件,用于为 iOS 和 OS X 制作应用程序和应用程序。
Xcode 可从加利福尼亚州库比蒂诺公司的 Mac App Store 免费获取。
但XcodeGhost团伙并没有感染那开发套件的版本。
相反,它修改了合法副本,在流行的中国文件共享服务上植入了假冒伪劣版本,并将其假冒 Xcode 宣传为不仅是正品,而且在中国境内的访问速度要快得多,因为该服务比跨太平洋链接到苹果官方网站的速度有优势。
中国的 iOS 开发者上钩了——钩子、线子和坠子。但通过使用受感染的 Xcode,他们在不知不觉中感染了他们用盗版程序创建的应用程序。
当被问及有关 XcodeGhost 独特性的同一问题时,旧金山移动风险管理供应商 Appthority 的联合创始人兼总裁 Domingo Guerra 同意 Wei 的观点。然而,Guerra 指出了类似于 XcodeGhost 的东西。 “一年半前,我们在广告网络的 SDK(软件开发工具包)中发现了一个漏洞,”他没有透露姓名。该漏洞被用来制作响应黑客命令和控制网络的广告。
Apple 无法检测到这些应用程序实际上已被 XcodeGhost 感染。 “畸形代码是由编译器注入的,”魏说。 “苹果没有可供比较的基线[哈希值],因此它无法知道它们是否被感染。”
受 XcodeGhost 影响的应用程序数量一直存在争议。 Wei 表示,在苹果本周早些时候开始撤回这些漏洞之前,FireEye 已识别出 4,000 多个漏洞。另一方面,Guerra 引用了 Appthority 在 App Store 上找到的一个非常具体的 477。其他安全研究人员和供应商抛出了各种各样的数字。
苹果尚未透露受影响应用程序的数量,但已列出了受感染的前 25 个最受欢迎的应用程序,并声称从该列表中,“受影响的用户数量大幅下降。”
受感染最多的 iOS 应用程序包括微信、滴滴打车、百度音乐、李一峰最喜欢的《愤怒的小鸟 2》和同花顺。这些应用程序在中国最受欢迎。
但 Guerra 和 Wei 都认为,中华人民共和国以外的 iOS 用户也受到了影响。虽然某些 iOS 应用程序仅限于特定市场,但大多数应用程序并非如此,因此会出现在 Apple 全球众多电子商店中。 Guerra 表示,Appthority 发现了世界各地用户下载的畸形应用程序的证据;魏补充说,美国用户也在其中。
受感染应用程序的行为也被报道为各种各样的声明。
Guerra 和 Wei 表示,他们的调查得出的结论是,这些应用程序的行为类似于广告软件,一个因喷出不需要的和未经授权的广告而命名的类别。
Appthority 的研发工程师 Andreas Weinlein 在一份报告中写道:“它收集各种设备信息并将其发送到远程服务器。”发布到他公司的博客本星期。 “此外,对这些请求的响应能够触发标准的 iOS 警报,并能够打开给定的 URL 或显示给定应用程序的 App Store 页面。”
Guerra 说,XcodeGhost 提供的 URL 会提供广告。 “这与攻击性广告软件非常相似,”他指出,并推测 XcodeGhost 组织是出于经济动机,并想出了如何通过大量其他开发者的下载来获利。
Guerra 和 Wei 一致认为,如果黑客将更严重的恶意软件植入伪造的 Xcode 中,情况可能会更糟。 “有传言说它可以窃取 iCloud 密码,但 [XcodeGhost 中] 的原始代码不具备这种能力,”Wei 说。他推测其他犯罪分子可能借用了 XcodeGhost,通过修改伪造的 Xcode 本身来增强攻击代码的功能。
苹果在本周早些时候开始撤回受 XcodeGhost 感染的应用程序,并敦促开发人员从苹果自己的服务器而不是其他地方检索 Xcode 开发工具包。该公司还发布了验证 Xcode 副本是否合法的说明在其开发者网站上。
苹果还采取了不同寻常的措施,公开了这一威胁,包括以问答形式发布在其中国网站上发布。 (不过,苹果并未在其他市场的网站上复制该帖子。)
苹果在帖子中表示:“我们已从 App Store 中删除了我们知道是使用该假冒软件创建的应用程序,并阻止提交包含该恶意软件的新应用程序进入 App Store。”
苹果公司将感染归咎于开发人员,称他们不仅从非官方(暗示不受信任)来源下载了 Xcode,而且还必须关闭感染的 Gatekeeper 才能使其进入他们的应用程序。
Gatekeeper 是 OS X(iOS 和 Mac 应用程序的开发平台)中的一项功能,默认情况下,包括苹果。 Gatekeeper 在 2012 年的 Mountain Lion 中首次亮相,但经常被高级用户禁用,以便他们可以下载未通过 Mac App Store 分发的第三方软件。
Wei 呼应了苹果公司的做法,谴责那些未经检查其有效性就抢占了假 Xcode 的开发人员。 “开发者有责任确认[Xcode]来自Apple并且没有改变,”Wei说。 “他们应该谨慎行事,并确认下载的哈希值。”
Guerra 警告说,像 XcodeGhost 这样的狡猾策略只是更大问题的一部分。 “这是只会增加的趋势的一部分,”他说。 “随着越来越多的用户在移动设备上进行操作,攻击者正在寻找更多渗透到移动设备的方法。”