苹果官方应用商店(Apple App Store)中的大量中国应用感染了某种恶意代码,可从用户手机上窃取信息。
中国日报网9月21日电(信莲)据美国《福布斯》杂志中文网9月19日报道,对苹果(Apple)的iPhone安全团队来说,这是繁忙的一周。首先是iOS曝出严重漏洞,可导致恶意软件通过AirDrop文件共享服务潜入设备。到了本周晚些时候,又曝出苹果官方应用商店(Apple App Store)中的大量中国应用感染了某种恶意代码,可从用户手机上窃取信息。
然而,应用商店的恶意软件事件要比最初的预想更糟糕。周五,有安全专家表示,微信以及滴滴-快的也受到了感染。福布斯了解到,攻击者在收集iCloud登陆信息等数据。
这些应用被感染的路径有些迂回,但从攻击者的角度来看则很合理。攻击者滥用了人们对通过第三方途径下载的Xcode的信任,这是iOS和Mac OS X应用的开发者工具。很多开发者选择从百度云文件共享服务获取Xcode,而不是直接从苹果官方渠道下载。但这些通过第三方途径下载的Xcode遭到了修改,它们在编译应用时会向其中注入恶意代码,从而从iPhone手机上获取如设备名和基本网络信息等一些看似无关紧要的数据。来自中国科技巨头阿里巴巴的研究人员恰如其分地把这些恶意代码称为XcodeGhost。
帕洛阿尔托网络公司(Palo Alto Networks)发现,百度云提供了包含恶意代码的软件,这些代码一路潜入到苹果的应用商店。
然而,这些恶意代码并非可以等闲视之。帕洛阿尔托网络公司的资深恶意软件研究员克劳德·肖(Claud Xiao)告诉福布斯,该公司发现,尽管XcodeGhost乍看起来只收集了一些非敏感数据,但“它可以被攻击者远程控制,进行网络钓鱼,或者是利用本地系统或应用的漏洞实施攻击。”这使得XcodeGhost的潜在危险性变大,而且它看起来是攻破iPhone实施进一步攻击的入口。
帕洛阿尔托网络公司42研究组的情报总监瑞恩·奥尔森(Ryan Olson)进一步解释说:“在连通命令和控制服务器上传受感染设备的信息之后,恶意软件会重新从服务器得到一段经过加密的响应。这个响应中可以包含多种潜在的命令,其中之一就是以警示弹窗形式向用户发送信息。
“我们有证据表明,这被用来从受感染应用的用户那里‘钓取’iCloud认证信息。服务器响应当中还可以包含一段URL网址,应用会随即打开该网址。我们不知道恶意软件在派什么用途,但它可以被用来把手机上的其他应用发送到潜在的恶意资源。”
最开始貌似只有中国的应用受到了感染,而受影响的用户大部分也来自中国。不过,事情在周五变得明朗,据美国的帕洛阿尔托网络公司称,受感染的应用范围更加广泛,而全球有数以亿计的用户受到影响。这家安全公司指出,在美国和很多其他国家最流行的名片阅读器和扫描仪CamCard也受到了XcodeGhost的感染。
与此同时,荷兰安全情报提供商Fox-IT对XcodeGhost包含被窃取信息的流量进行了自己的分析,他们发现大量其他应用受到了感染,其中很多跟中国并没有关系。帕洛阿尔托网络公司在其博客中列出了受感染应用的完整名单。
据该博客文章称,腾讯已经更新了微信应用以摆脱恶意代码,而帕洛阿尔托网络及其他公司正在跟苹果合作解决这个问题。百度也从自己的云服务中移除了包含恶意代码的文件。截止本文发稿时,苹果尚未回应置评请求。
我们应该可以这样说,XcodeGhost找到了一种绕过苹果应用商店严格保护机制的办法。这之前已经被证明过,而且会被再次验证:即使最封闭的环境也能被攻破。