黑客们脱下了前所未有的壮举,哄骗不知情的开发商陷入装载成千上万的iOS应用程序与广告软件,安全专家周五表示。
“这是我记忆中的第一个实例,”翔炜,移动开发的FireEye的,一个加州Milpitas市,网络安全公司,当询问是否一个顶级的应用系统曾经被通过第一方感染的高级主管开发工具。
魏指的是黑客活动,被称为“XcodeGhost”由中国研究人员,是采取了一个非常不寻常的方式来获取恶意代码插入通过苹果的App Store分发iOS应用。而不是攻击代码注入到一个单一的应用程序,然后试图让过去的苹果的自动化和人类评审,该XcodeGhost黑客,而不是感染了Xcode中,苹果公司的集成软件开发工具套件各具特色的应用程序和应用程序的iOS和OS X.
Xcode是免费提供从加州Cupertino公司的Mac应用程序商店。
但XcodeGhost团伙并没有感染该版本的开发套件。
相反,它修改了合法副本,种子假冒在中国流行的文件共享服务,并促进了虚假的Xcode的不仅是实打实的,但可用更快的来源于中国境内,因为服务的速度优势跨太平洋链接到苹果官方网站。
中国的iOS开发者上钩了 - 钩,线和坠子。但是,通过使用被感染的Xcode他们在不知不觉中被感染,他们与盗版创建的应用程序。
当被问及XcodeGhost的独特性,多明戈格拉,联合创始人兼总裁Appthority,一个总部位于旧金山的移动风险管理厂商的同样的问题,同意威。然而,格拉指出,一个类似于XcodeGhost。 “一年半前,我们看到了一个广告网络的SDK [软件开发工具包]一个漏洞,”他不点名说。该漏洞被利用来工艺的广告,回答到黑客的指挥与控制网络。
苹果无法检测到的应用程序进行,事实上,感染XcodeGhost。 “畸形的代码是由编译器注入,”魏说。 “有没有底线[散列]苹果进行比较,所以它可能不知道他们被感染。”
患有XcodeGhost的应用程序的数量一直在争论。魏说,FireEye的确定了4000多以前苹果开始在本周早些时候拉他们。格拉,在另一方面,引一个非常特定的477是Appthority在App Store上找到。其他安全研究人员和厂商抛出了各种各样的数字。
苹果还没有透露受影响的应用程序的数量,但已经上市的被感染的前25名最流行的应用程序,并宣称关闭该列表中,“受影响的用户数量显著下降。”
在排名前感染的iOS应用程序是微信,迪迪出租汽车,百度音乐,愤怒的小鸟2 - 亿丰李的喜爱,和同花顺。该应用程序是在中国最受欢迎。
但是,中华人民共和国境外iOS用户也受到了影响,争辩双方格拉卫。虽然一些iOS应用程序仅限于特定的市场,大部分都没有,因而出现在苹果的众多电子商店在全球各地。格拉说,Appthority发现世界各地的用户下载恶意应用程序的证据;伟补充说,美国用户在他们中间。
受感染的应用程序的行为也被报道与多种说法。
格拉和伟说,他们的调查结论是,这些应用程序都表现得像广告,一个命名为喷涌不必要的和未经授权的广告类别。
“它收集各类设备信息,并将其发送到远程服务器,”本周写道安德烈亚斯Weinlein,研发工程师Appthority,在后到他公司的博客。 “此外,根据这些请求能够触发标准iOS警报和能够打开一给定URL或显示在给定的应用程序的应用程序商店页面”。
通过XcodeGhost提供的网址提供了广告,称格拉。 “这是非常相似的攻击性广告,”他说,理论化的XcodeGhost组为财务动机,而想出如何赚钱了大量的其他开发人员的下载。
事情本来会更糟,格拉和魏同意,如果黑客已经出炉更严重的恶意软件进入假的Xcode。 “有传言说,它可以窃取的iCloud密码,但原代码[在XcodeGhost]不具备这种能力,”魏,谁推测,其他犯罪分子可能有骑XcodeGhost的燕尾服通过修改假冒Xcode中自己来提振攻击代码的说功能。
苹果开始对手的XcodeGhost感染的应用程序,在本周早些时候,并敦促开发商检索来自苹果自己的服务器,而不是其他地方的Xcode开发工具包。该公司还出版说明验证Xcode中的副本是合法的在其开发者网站。
苹果还采取了对威胁的上市,包括在其中国网站上Q&A格式化后的不寻常的举动。 (苹果没有复制然而在其网站上的其他市场的职位。)
“我们已经移除了应用程序商店,我们知道已经创造了这个假冒软件,并阻止了包含这种恶意软件进入App Store的新的应用程序提交的应用程序,”苹果说的帖子。
苹果指责开发商为感染,说他们不仅下载Xcode中从一个非官方的 - 和含蓄,不可信 - 源,而不得不关闭了看门人的感染,使之成为自己的应用程序。
网闸是在OS X上的功能 - 为iOS开发平台以及Mac的应用程序 - 在默认情况下允许用户安装从Mac App Store下载或仅软件那些由注册开发者,包括苹果公司的数字签名。关守亮相于2012年的美洲狮,但往往是高级用户禁用,这样他们可以下载通过Mac App Store中尚未发放的第三方软件。
魏呼应苹果,他严厉批评谁抓住了假的Xcode不检查其有效性开发商。 “开发商有责任确认[Xcode中]来自苹果,是不变的,”魏说。 “他们应该谨慎使用,并确认下载的哈希值。”
格拉警告说,像XcodeGhost偷偷摸摸的策略是一个更大的问题的一部分。 “这是这只会增加的趋势的一部分,”他说。 “随着越来越多的用户正在做的事情上移动,攻击者正在寻找更多的方法来渗透到移动。”
