XcodeGhost对苹果采用了前所未有的感染策略

不谨慎的iOS开发者被蒙骗,通过盗版的Xcode工具集,用畸形的代码播种他们的工作

高级记者,《计算机世界》 |

安全专家周五表示,黑客完成了一项史无前例的壮举,诱使不知情的开发人员用广告软件加载了数千个iOS应用程序。

“这是我记得的第一个例子,”加州网络安全公司火眼(FireEye)的移动开发高级总监雷蒙德魏(Raymond Wei)在被问及顶级应用系统是否曾被第一代开发工具感染时表示。

魏则西指的是一场被中国研究人员称为“XcodeGhost”的黑客行动,该行动采用了一种非常不寻常的方式,将恶意代码通过互联网传播到iOS应用程序中苹果应用程序商店。XcodeGhost黑客没有向单个应用程序注入攻击代码,而是试图让它通过苹果的自动和人工审查,而是感染了Xcode,后者是苹果为iOS和OS X打造应用程序和应用程序的集成软件开发工具套件。

Xcode可以在加州库比蒂诺的苹果应用商店免费下载。

但XcodeGhost团伙没有感染开发套件的版本。

相反,它修改了一份正版,在一个颇受欢迎的中国文件共享服务上植入了假冒代码,并宣传其假冒的xcode不仅货真价实,而且在中国国内可以更快地获得,因为该服务比跨太平洋的苹果官方网站速度更快。

中国iOS开发者上了“鱼钩”。但通过使用受感染的Xcode,他们不知不觉地感染了他们用盗版创建的应用程序。

当被问及XcodeGhost的独特性时,旧金山移动风险管理公司Appthority的联合创始人兼总裁多明戈·圭拉(Domingo Guerra)同意魏的看法。然而,Guerra指出了类似于XcodeGhost的东西。“一年半前,我们在一个广告网络的SDK(软件开发工具包)中发现了一个漏洞,”他说,但没有指名。该漏洞被用来制作回应黑客指挥控制网络的广告。

苹果公司无法检测到这些应用程序实际上受到了XcodeGhost的感染。“这些畸形的代码是由编译器注入的,”魏说。“苹果没有可供比较的基准,所以它不可能知道他们被感染了。”

受XcodeGhost影响的应用程序数量一直存在争议。韦说,在苹果本周早些时候开始撤货之前,火眼已经确认了4000多件。另一方面,Guerra引用了在应用商店Appthority找到的一个非常具体的477。其他安全研究人员和供应商抛出了各种各样的数字。

苹果没有透露受影响的应用程序的数量,但披露了列出了25个最受欢迎的受感染的应用程序,并声称,“受影响的用户数量显著下降。”

最受感染的iOS应用包括微信、滴滴打车、百度音乐、李易峰最喜欢的《愤怒的小鸟2》和Flush。这些应用程序在中国最受欢迎。

但圭拉和韦都认为,中国以外的iOS用户也受到了影响。虽然一些iOS应用程序仅限于特定的市场,但大多数并没有,因此出现在苹果遍布全球的众多电子商店中。Guerra说Appthority发现了全世界用户下载的畸形应用的证据;魏补充说,美国用户也在其中。

被感染的应用程序的行为也有各种各样的说法。

圭拉和韦说,他们的调查结论是,这些应用程序的行为类似广告软件,这个类别的名称是“喷涌无用及未经授权的广告”。

“它收集各种设备信息,并将其发送到远程服务器,”Appthority的研究和开发工程师安德烈亚斯·魏因莱因(Andreas Weinlein)写道发布到他公司的博客上这个星期。“此外,对这些请求的响应能够触发标准的iOS警报,并能够打开给定的URL或显示给定应用程序的App Store页面。”

Guerra说,XcodeGhost提供的网址提供了广告。他指出:“这与激进的广告软件非常相似。”他的理论是,XcodeGhost小组是出于财务动机,并想出了如何从其他开发者的大量下载中赚钱的方法。

圭拉和韦一致认为,如果黑客在虚假的Xcode中植入更严重的恶意软件,情况可能会更糟。“有传言说它可以窃取iCloud密码,但(XcodeGhost中的)原始代码没有这种能力,”魏说。他推测,其他犯罪分子可能利用了XcodeGhost的附带功能,修改了假冒的Xcode,以增强攻击代码的功能。

本周早些时候,苹果开始撤下受xcodeghoter感染的应用程序,并敦促开发人员从苹果自己的服务器(而不是其他地方)检索Xcode开发工具包。该公司还发布了用于验证Xcode副本是否合法的说明在其开发者网站上。

苹果还采取了不同寻常的措施,公开了这一威胁,包括一个问答形式的问题发布在其中国网站上。(不过,苹果并没有在其网站上把这篇文章复制到其他市场。)

苹果公司在帖子中表示:“我们已经从App Store中删除了我们知道是用这个假冒软件创建的应用程序,并阻止含有这个恶意软件的新应用程序进入App Store。”

苹果将病毒感染归咎于开发者,称他们不仅从一个非官方的、言外之意的、不可信的来源下载了Xcode,而且还必须关闭“看门人”(Gatekeeper)功能,才能让病毒感染进入他们的应用程序。

Gatekeeper是iOS和Mac应用程序开发平台OS X的一个默认功能允许用户只安装从Mac应用程序商店下载的软件或由注册开发者数字签名的软件,包括苹果。Gatekeeper在2012年的《Mountain Lion》中首次亮相,但经常被高级用户禁用,这样他们就可以下载不是通过Mac应用商店发布的第三方软件。

魏回应了苹果公司的说法,他谴责了那些没有检查Xcode合法性就拿了山寨Xcode的开发者。“开发者有责任确认(Xcode)来自苹果,并且没有改变,”魏说。“他们应该谨慎行事,确认下载的哈希值。”

Guerra警告说,像XcodeGhost这种鬼鬼祟祟的策略只是更大问题的一部分。“这只是趋势的一部分,而且只会越来越明显,”他说。“随着越来越多的用户使用移动设备,攻击者正在寻找更多的方式渗透到移动设备。”

这个故事,“XcodeGhost使用前所未有的感染策略对抗苹果”最初发表于《计算机世界》

加入网络世界社区吧有个足球雷竞技app脸谱网LinkedIn对大家最关心的话题发表评论。
相关:

资深记者Gregg Keizer负责Windows、Office、Apple/enterprise、web浏览器和Computerworld的web应用程序。

版权©2015Raybet2

工资调查:结果在