發生在蘋果iOS平臺的XCodeGhost木馬侵入事件再次發酵。據美國媒體23日報道,美國安全研究人員最新公布,此次事件中受感染的應用遠比此前所報道的多,并且事發時間可以追溯到今年4月。
“XCodeGhost的擴散范圍遠比起初預計的大,”美國移動應用安全公司Appthority的安全人員當地時間周一公開發文表示, “我們已經從數據庫中確認了476個被感染的app,這比最初預計的40個多太多。”
根據Appthority公開的一張圖標顯示,感染最早暴發于今年4月,感染數量在隨后的5個月持續增長。目前最讓人們感到驚訝的就是,如此大量的應用竟然能夠突破蘋果一直以來引以為傲的安全防線,并且持續感染時間跨度長達數月。同時,另一家安全公司FireEye的研究人員甚至發文稱,已經找到4000個被XCodeGhost感染的iOS應用。不過,兩家公司均沒有公布受感染應用的名單,也沒有指明這些應用是否主要集中在中文用戶。
不過,這個壞消息發布的同時,安全人員也帶來了好消息:受感染的應用更多和惡意廣告軟件相關,而非安全入侵惡意軟件。
Appthority指出,此次XCodeGhost對用戶設備和企業安全的實際打擊很低,至少現在沒有成為直接的安全威脅。“根據我們對感染應用的相關行為進行風險分析,我們認為把XCodeGhost歸類為惡意廣告軟件更合適。理論上來說,在該代碼中加入有害行為信息并不難,但從目前我們的分析來看,XCodeGhost的作者選擇了不植入這類有害行為。”
其研究人員表示,目前并沒有證據顯示XCodeGhost感染的應用有跟蹤用戶并泄露其iClond或其他服務密碼等信息的能力。對被感染應用的進行分析后發現,它們主要有幾種能力:向服務器發送請求;請求中包含了所有設備的識別碼(類似典型的跟蹤體系);接收到的應答能激發不同的行動,比如利用SKStoreProductViewControllerDelegate協議在某個app中顯示AppStore并誘導下載(正如我在此前文章中所說,制造這個特洛伊的人,目的之一就是掙錢,但偷手機用戶的錢很難,最好的辦法就是幫人推app來變現)、彈出警告框或彈出Appstore、打開URL、一定時間內維持休眠狀態。
此外,研究人員稱,和目前多數報道中信息不符的是,該襲擊體系本身并沒有包含顯示登錄彈窗或任何能發出釣魚警告的編碼。唯一能發起釣魚襲擊的方法,就是把應答發送到并打開一個指向惡意網站的URL。就是說,那段加載編譯進去的源碼根本沒法實現監控手機遠程拿你手機打電話等等,它能獲取的就是部分版本的app裝載了他的代碼而已,然后根據這個app的特性推送給你廣告而已。
蘋果方面也在其官方博客中指出,目前沒有證據顯示任何app被惡意使用,基于此,安全專家在接受美國媒體采訪時認為,XCodeGhost并沒有很多用戶所擔心的那么可怕。
盡管尚未造成嚴重后果,Appthority也提醒,此次事件也證明了用新代碼去感染多個AppStrore的應用以及逾越其審查流程已經成為可能。
京公網安備 11010502049343號