XcodeGhost用前所未有的感染策略对抗苹果

不谨慎的iOS开发者被蒙骗,通过盗版的Xcode工具集,用畸形的代码播种他们的工作

高级记者,计算机世界 |

黑客们脱下了前所未有的壮举,哄骗不知情的开发商陷入装载上千的iOS中的广告软件应用程序,安全专家周五表示。

“这是第一个实例,我记得,”蕾蒙威在FireEye的,一个加州米尔皮塔斯市的网络安全公司,当被问及是否顶级应用系统曾经被通过第一方受感染的移动开发的高级主管开发工具。

魏指的是黑客活动的,被称为“XcodeGhost”由中国研究人员,是采取了一个非常不寻常的方式来获取恶意代码插入iOS的应用程序通过分布式苹果应用程序商店。XcodeGhost黑客没有向单个应用程序注入攻击代码,而是试图让它通过苹果的自动和人工审查,而是感染了Xcode,后者是苹果为iOS和OS X打造应用程序和应用程序的集成软件开发工具套件。

Xcode是从加州Cupertino的公司的Mac应用程序商店负责免费提供。

但XcodeGhost团伙没有感染开发套件的版本。

相反,它修改了一份正版,在一个颇受欢迎的中国文件共享服务上植入了假冒代码,并宣传其假冒的xcode不仅货真价实,而且在中国国内可以更快地获得,因为该服务比跨太平洋的苹果官方网站速度更快。

中国iOS开发上钩了 - 钩,线和坠子。但是,通过使用被感染的Xcode他们在不知不觉中被感染,他们与盗版创建的应用程序。

当被问及XcodeGhost的独特性,多明戈格拉,共同创始人和Appthority,一个总部位于旧金山的移动风险管理供应商的总裁同样的问题,同意威。然而,格拉指出,一些类似于XcodeGhost。“一年半前,我们看到了一个广告网络的SDK [软件开发工具包]中的漏洞,”他说,没有指名道姓。该漏洞被利用到回答到黑客的指挥和控制网络广告的手艺。

苹果无法检测到的应用程序,事实上,感染了XcodeGhost。“畸形的代码被编译器注入,”魏说。“没有底线[散列]苹果进行比较,所以它可能不知道他们被感染。”

受XcodeGhost影响的应用程序数量一直存在争议。韦说,在苹果本周早些时候开始撤货之前,火眼已经确认了4000多件。另一方面,Guerra引用了在应用商店Appthority找到的一个非常具体的477。其他安全研究人员和供应商抛出了各种各样的数字。

苹果还没有透露受影响的应用程序的数量,但上市被感染的前25名最热门的应用,并声称,“受影响的用户数量显著下降。”

在排名前感染的iOS应用是微信,迪迪出租车,百度音乐,愤怒的小鸟2 - 亿丰李的喜爱,和同花顺。该应用程序是最流行的在中国。

但圭拉和韦都认为,中国以外的iOS用户也受到了影响。虽然一些iOS应用程序仅限于特定的市场,但大多数并没有,因此出现在苹果遍布全球的众多电子商店中。Guerra说Appthority发现了全世界用户下载的畸形应用的证据;魏补充说,美国用户也在其中。

被感染的应用程序的行为也有各种各样的说法。

格拉和伟说,他们的调查结论是,应用程序被表现得像广告软件,一类命名为喷涌不必要的和未经授权的广告。

“它收集各类设备信息,并将其发送到远程服务器,写道:”安德烈亚斯Weinlein,在Appthority研发工程师,在张贴到他的公司的博客本星期。“此外,对这些请求的响应能够触发标准iOS警报并能打开指定的URL或出现在特定的应用程序的App Store的页面。”

通过XcodeGhost提供的网址提供广告,格拉说。“这是非常相似的攻击性广告,”他指出,理论化的XcodeGhost组财务激励,想出如何赚钱大量的其他开发者下载。

圭拉和韦一致认为,如果黑客在虚假的Xcode中植入更严重的恶意软件,情况可能会更糟。“有传言说它可以窃取iCloud密码,但(XcodeGhost中的)原始代码没有这种能力,”魏说。他推测,其他犯罪分子可能利用了XcodeGhost的附带功能,修改了假冒的Xcode,以增强攻击代码的功能。

苹果开始在本周唬弄的XcodeGhost感染的应用较早,并敦促开发商检索苹果公司自己的服务器上,而不是其他地方的Xcode开发工具包。该公司还公布用于验证的Xcode的副本是合法的指令在其开发者网站上。

苹果还采取了不同寻常的措施,公开了这一威胁,包括一个问答形式的问题发布在其中国网站上。(不过,苹果并没有在其网站上把这篇文章复制到其他市场。)

苹果公司在帖子中表示:“我们已经从App Store中删除了我们知道是用这个假冒软件创建的应用程序,并阻止含有这个恶意软件的新应用程序进入App Store。”

苹果指责开发商为感染,称他们不仅从一个非官方下载Xcode的 - 和暗示,不信任 - 源,而不得不关闭了看门人的感染,使之成为自己的应用程序。

Gatekeeper是iOS和Mac应用程序开发平台OS X的一个默认功能允许用户安装软件只能从Mac App Store下载或由注册开发者数字签名,包括苹果。网守推出2012年的美洲狮,但往往是由高级用户禁用,这样他们可以下载通过Mac App Store中尚未发放的第三方软件。

魏回应了苹果公司的说法,他谴责了那些没有检查Xcode合法性就拿了山寨Xcode的开发者。“开发者有责任确认(Xcode)来自苹果,并且没有改变,”魏说。“他们应该谨慎行事,确认下载的哈希值。”

格拉警告说,像XcodeGhost偷偷摸摸的策略是只有一个更大问题的一部分。“这是趋势只会增加的一部分,”他说。“随着越来越多的用户正在做的事情的移动,攻击者正在寻找更多的方法来渗透到手机。”

这个故事,“XcodeGhost用前所未有的感染策略对抗苹果”最初发表计算机世界

加入对网络世界的社足球竞猜app软件区Facebook的LinkedIn对大家最关心的话题发表评论。
有关:

资深记者Gregg Keizer负责Windows、Office、Apple/enterprise、web浏览器和Computerworld的web应用程序。

版权所有©2015年足球竞彩网下载

IT薪资调查:结果是