| 加入桌面 | 手機(jī)版
免費(fèi)發(fā)布信息網(wǎng)站
貿(mào)易服務(wù)免費(fèi)平臺(tái)
 
 
當(dāng)前位置: 貿(mào)易谷 » 資訊 » 電子數(shù)碼 » 蘋果遭遇信任危機(jī):對(duì)App Store安全漏洞噤聲

蘋果遭遇信任危機(jī):對(duì)App Store安全漏洞噤聲

放大字體  縮小字體 發(fā)布日期:2015-09-21 09:05  來源:騰訊科技  瀏覽次數(shù):56
?在外界印象里,封閉的系統(tǒng)生態(tài)和嚴(yán)格的審查制度,使得蘋果設(shè)備似乎有天然防御危機(jī)的屏障。但事實(shí)上,蘋果的安全防御機(jī)制比想象的更加脆弱。

2013年,只用了不到30秒,國(guó)內(nèi)白帽子團(tuán)隊(duì)KeenTeam就遠(yuǎn)程破解了當(dāng)時(shí)蘋果最新的操作系統(tǒng)iOS7.0.3,獲取了該手機(jī)中的照片。2014年紐約舉辦的黑客大會(huì)上,安全專家喬納森·扎德爾斯基展示了如何利用存在于iOS后臺(tái)的“后門”服務(wù),從iPhone中提取出大量數(shù)據(jù)。
安全領(lǐng)域從業(yè)人員一次次破解蘋果成為展現(xiàn)技術(shù)最好憑證,但對(duì)普通用戶來說,最近一次起廣泛關(guān)注的是9月18日。當(dāng)天,漏洞報(bào)告平臺(tái)烏云網(wǎng)和硅谷安全公司Palo Alto均發(fā)布安全預(yù)警,蘋果應(yīng)用商店上架的網(wǎng)易音樂云等應(yīng)用被注入第三方惡意代碼,用戶信息或早泄露。

iOS開發(fā)者和安全行業(yè)人士開始紛紛查找受影響的App。騰訊安全應(yīng)急響應(yīng)中心日后披露,其曾發(fā)現(xiàn)AppStore中已有76款應(yīng)用被感染。

Twitter用戶@fannheywrd(愛微創(chuàng)想iOS開發(fā)主管)爆料稱,受影響的App已蔓延至火車訂票應(yīng)用12306和中信銀行卡動(dòng)卡空間。一時(shí)間,網(wǎng)絡(luò)流傳出多種安全解讀和提醒,獵豹移動(dòng)安全專家甚至提醒用戶考慮修改密碼和支付方式。

事情的轉(zhuǎn)機(jī)出現(xiàn)在19日上午。一個(gè)名為“XcodeGhostSource”的賬號(hào)在代碼退管網(wǎng)站GitHub發(fā)布“關(guān)于所謂‘XcodeGhost’的澄清”一文中稱,惡意代碼源自個(gè)人實(shí)驗(yàn),因10天前已關(guān)閉服務(wù)器,并刪除所有數(shù)據(jù),已消除影響。不過,記者瀏覽發(fā)現(xiàn),該賬號(hào)為新注冊(cè)賬號(hào),注冊(cè)時(shí)間為2015年9月19日。

有業(yè)內(nèi)人士告訴記者,該作者并不希望被外界知道其身份。也正因?yàn)榇?,這份澄清聲明的真實(shí)性引發(fā)業(yè)界熱議。不過,這一聲明獲得多個(gè)安全領(lǐng)域?qū)<肄D(zhuǎn)發(fā)。

然而,危機(jī)尚未解除。有業(yè)內(nèi)人士回憶,Unix之父Ken Thompson在獲得圖靈獎(jiǎng)發(fā)表感言時(shí)曾稱,在編譯Unix代碼的C編輯器里留有“后門”。蘋果iOS操作系統(tǒng)是屬于類Unix操作系統(tǒng)。該業(yè)內(nèi)人士提醒,在對(duì)此次事件分析時(shí)發(fā)現(xiàn),借助這一漏洞,黑客在獲得遠(yuǎn)程控制權(quán)限后,可以向“中標(biāo)”手機(jī)下發(fā)任意指令。

騰訊安全應(yīng)急響應(yīng)中心稱,9月16日已向蘋果官方同步應(yīng)用被感染情況。

9月19日,蘋果向被感染手機(jī)程序開發(fā)者發(fā)出下架通知,建議手機(jī)程序編寫者下載正版開發(fā)工具,重新編譯相關(guān)程序后上傳至AppStore。

以越獄出名的盤古團(tuán)隊(duì)也在當(dāng)日發(fā)布了一款XcodeGhost檢測(cè)工具。該團(tuán)隊(duì)稱,已檢測(cè)到超過800個(gè)不同版本的應(yīng)用受到感染。不過,該消息未能得到蘋果或第三方證實(shí)。

與以往惡意程序自身攜帶病毒不同,這次安全事件中,黑客第一次把惡意代碼嵌入蘋果應(yīng)用開發(fā)的源頭,欺騙對(duì)象轉(zhuǎn)向開發(fā)者。對(duì)普通用戶而言一旦使用了感染的App,其數(shù)據(jù)將上傳至黑客指定網(wǎng)址,而一旦有App要求用戶輸入賬戶密碼等隱私數(shù)據(jù),隱藏在背后的灰色產(chǎn)業(yè)暴利相當(dāng)驚人。

烏云平臺(tái)已陸續(xù)曝出多起蘋果系統(tǒng)級(jí)高危漏洞,在此次后門漏洞曝光過后,人們的確應(yīng)當(dāng)意識(shí)到,蘋果并非永遠(yuǎn)安全的手機(jī)。

黑客利用設(shè)備信息可用于遠(yuǎn)程控制

代碼分析結(jié)果顯示,上報(bào)的信息包括App版本、App名稱、本地語言、iOS版本、設(shè)備類型和國(guó)家碼等信息。這些信息雖然不涉及到個(gè)人用戶的隱私,但是可以精準(zhǔn)地對(duì)不同的iOS設(shè)備進(jìn)行區(qū)分。未經(jīng)證實(shí)的前述聲明也表示,其代碼可以獲取的只有App的基本信息。

這意味著,通過上報(bào)信息區(qū)分每一臺(tái)iOS設(shè)備后,黑客可以通過iOS openURL這個(gè)API隨時(shí)隨地給任何人下偽協(xié)議指令。

“這時(shí)候黑客已經(jīng)可以控制你的手機(jī),達(dá)到他想要做的任何事情。”有安全專家向記者解釋,“瀏覽網(wǎng)頁(yè)、打電話發(fā)短只是最常見的功能,甚至可以對(duì)具備該偽協(xié)議的第三方App進(jìn)行操作。”

不僅如此,黑客還可以控制彈出任何對(duì)話框,對(duì)用戶進(jìn)行誘導(dǎo)進(jìn)行更進(jìn)一步的安全危害。騰訊安全應(yīng)急響應(yīng)中心甚至發(fā)現(xiàn),利用該惡意代碼的漏洞甚至可以被中間人攻擊。后者是一種黑客常用的古老攻擊手段。

此外,騰訊安全應(yīng)急響應(yīng)中心還發(fā)現(xiàn),除了已使用的上報(bào)域名地址“icloud-analysis.com”,此次還發(fā)現(xiàn)了其他三個(gè)尚未使用的域名。如果不是及時(shí)遏制,其影響范圍可能進(jìn)一步擴(kuò)大。

開發(fā)者下載官方版本難引出黑產(chǎn)尋利

XcodeGhost被大規(guī)模發(fā)現(xiàn)之前。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心曾在9月14日發(fā)布過預(yù)警通報(bào)。該通報(bào)稱,檢測(cè)中發(fā)現(xiàn)開發(fā)者使用了非蘋果官方渠道的Xcode開發(fā)工具,而該工具中被植入惡意代碼。

事實(shí)上,作為蘋果官方開發(fā)工具,Xcode可以免費(fèi)從應(yīng)用商店下載。那么為什么有開發(fā)者選擇了非官方渠道?

受訪的多數(shù)蘋果開發(fā)者告訴記者,原因只有一個(gè),就是官方渠道下載速度非常慢。猿題庫(kù)iOS開發(fā)工程師唐巧在社交網(wǎng)絡(luò)上稱,“每次下Xcode花個(gè)幾十分鐘非常正常,這才造成大家都用迅雷和百度網(wǎng)盤這種非官方渠道”。

互聯(lián)網(wǎng)的云存儲(chǔ)服務(wù)只是提供了一個(gè)更為方便的下載渠道。有消息稱,此次安全危機(jī)的始作俑者的網(wǎng)名為“coderfun”,攜帶惡意代碼的Xcode壓縮文件上傳至百度網(wǎng)盤后,將下載鏈接先后發(fā)布到多個(gè)開發(fā)者聚集的社區(qū)、下載站等。騰訊安全應(yīng)急響應(yīng)中心稱,“coderfun”還是用了“Imznet”、“jrl568”等ID傳播下載鏈接。

據(jù)悉,惡意代碼被隱藏在了一個(gè)名為“CoreService.framework”的“系統(tǒng)組件”內(nèi),而官方下載的安裝包并不存在這個(gè)目錄和“系統(tǒng)組件”。

獵豹移動(dòng)安全專家李鐵軍告訴記者,“黑產(chǎn)”希望通過收集用戶信息,以便廣告投放,后者存在利益空間。由于蘋果限制比較多、審查比較嚴(yán)格,常用模式無法運(yùn)行,因此只能從開發(fā)環(huán)節(jié)突破。盡管是有限的個(gè)人信息,但仍然有商業(yè)價(jià)值。

所謂“黑產(chǎn)”,就是指靠收集個(gè)人信息,出售個(gè)人信息牟利的一群人。

漏洞會(huì)引發(fā)蘋果信任危機(jī)嗎?

事件發(fā)生后,幾家涉事公司紛紛提出了自己的。騰訊選擇了更新版本,并且在發(fā)現(xiàn)bug的第二天,即9月13日已完成替換。9月18日下午15時(shí),網(wǎng)易云音樂通過社交網(wǎng)絡(luò)發(fā)布公告解釋了發(fā)生危機(jī)的原因。

盡管蘋果最終在19日下架受感染應(yīng)用,但李鐵軍表示,唯一的方法是等待開發(fā)者重新發(fā)布安裝包替換。用戶可以選擇卸載,或者等待升級(jí)更新。

但蘋果在漏洞發(fā)生后一段時(shí)間的失語,讓外界有了更多的猜測(cè)。隨著自媒體的發(fā)酵以及更多的人加入討論,該漏洞被更為深入地解讀。雖然并未沒有直接的證據(jù)指出,該漏洞會(huì)竊取與財(cái)產(chǎn)相關(guān)的個(gè)人賬號(hào)信息,但由于此次“中招”App包括火車訂票軟件和銀行軟件,所以也有分析稱,用戶的財(cái)產(chǎn)安全或受到威脅。

一旦有App要求用戶輸入賬號(hào)密碼,這背后隱藏的灰色暴利將會(huì)相當(dāng)驚人。中國(guó)漏洞庫(kù)專家委員會(huì)蔡晶晶接受中央電視臺(tái)采訪表示,正常用戶訪問的一次點(diǎn)擊廣告的價(jià)值是1至2元人民幣,一個(gè)億用戶量每個(gè)用戶推送一個(gè)廣告,我們知道背后的價(jià)值有多達(dá),這就是傳統(tǒng)意義上的黑色產(chǎn)業(yè)鏈。

截至發(fā)稿時(shí),中國(guó)市場(chǎng)并沒有更進(jìn)一步爆發(fā)新的安全事件,也沒有相關(guān)信息和財(cái)產(chǎn)損失的報(bào)告 。多位受訪安全人士判斷,此次危機(jī)主要是對(duì)開發(fā)者發(fā)出了警告,敦促其避免使用來歷不明的開發(fā)工具,相反對(duì)用戶而言,影響并不大。

不過,也有分析人士指出,蘋果消極對(duì)待,也沒有對(duì)開發(fā)者和用戶及時(shí)發(fā)出提醒,或使其聲譽(yù)受損,甚至?xí)斐筛蟮男湃挝C(jī)。
分享與收藏:  資訊搜索  告訴好友  關(guān)閉窗口  打印本文 本文關(guān)鍵字:
 
推薦圖文
贊助商鏈接
推薦資訊
贊助商鏈接