论文部分内容阅读
“两个……又两个……”9月18日这一天,周鼎发现周围的程序员好友都在谈论一个名为XcodeGhost的恶意代码,他们不断发现iPhone和iPad上的App被感染,其中包括微信iOS版、滴滴出行、高德地图、网易云音乐等常用应用。
这些被感染的苹果App,会收集苹果移动设备和App上的基本信息,比如系统版本、应用名称、用户所在国家和使用的语言等等,在用户没有任何察觉的情况下,通过后台发送到一个仿冒苹果的网站上。
更具危害的是,这个恶意代码还会接受远程指令,定向在手机客户端弹出消息或是推送“钓鱼页面”,诱导用户到仿冒的网站上,进一步窃取敏感信息。
“受影响的都是用户群比较广的App,并且有的是大公司。如果连大公司都中招,小公司的情况又会怎样?”作为开发过两款iOS和MacOS应用的程序员,周鼎对《第一财经周刊》说,他开始意识到问题的严重性。
周鼎测试了自己iPhone上的App。边测试,他边在微博上发布自己的检查结果。其检测手段非常简单,只要打开App,放它在后台运行,不需要特定的启动条件,恶意代码便会自动在App启动和关闭时,向特定服务器上发两次信息,其中包含了用户的种种信息。这时,再用网络工具检测手机的网络流量,如果发现有上述发送信息的行为,便可判断应用已经被感染。
一个应用检测需要15至30秒。一下午,周鼎测试了100多个应用,发现有5个应用被感染,其中,还有像同花顺这类和金融相关的应用。为了确保结果准确,每个App他都打开、关闭两次。测试完后,周鼎立刻删除了感染应用,修改了iCloud以及涉及到支付的应用的密码。
后来,周鼎从程序员的圈子里得知,这场病毒其实是一场埋伏已久的“预谋”。
安天移动安全武汉研发中心负责人潘博文,早在9月14日就知道了苹果设备可能将遭到病毒入侵。当天,国家互联网应急中心(CNCERT)也在官网上发布了公开预警。而前一天,腾讯网络安全部门将这一消息报告给了CNCERT。但安全技术人员每天见多了大量恶意代码和攻击,潘博文和同事们当时并没有意识到其严重性,只是觉得这一攻击手法比较少见。
XcodeGhost的作者将恶意代码注入到苹果App开发工具Xcode中,如果程序开发人员使用被感染的Xcode发布App,恶意代码就会转移并感染App。Xcode是大多数苹果App开发者都会使用的底层开发工具。这种手法就像是一次移动网络的“土壤污染”,土壤含有的毒素,会直接被植物吸收,继而危害人的安全。
9月18日,苹果App受到大量感染的那一天,美国安全厂商Palo Alto Networks也发布了分析报告,指出接受XcodeGhost发出信息的域名,从3月14日开始就有流量产生,此后流量一路飙升。这表明,感染事件从半年前就已经在不为人所知的情况下发生了。
而恰巧在这个时间点,美国发生了一次机密披露事件。美国中央情报局(CIA)前职员斯诺登手中掌握着大量美国国家安全局关于棱镜计划的秘密文档,并陆续披露给媒体。3月10日,他发布了一份CIA探讨“从软件开发工具着手,攻击MacOS和iOS”的文档,其攻击思路与XcodeGhost类似。2012年,CIA也曾资助机构研究用这种方式侵入的可能性。
但国外技术人员当时只是停留在探讨层面,该病毒能在中国形成大范围的“污染”,一定是诸多漏洞叠加造成的结果。
“中国网络环境特殊,从国外下载应用慢。久而久之,大家都习惯在国内找镜像(一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本),而不是直接从官网下载。”现在住在加拿大的程序员霍炬对《第一财经周刊》说。事件发生后,他专门写文章,表示这次事件的主因之一,即国内不规范的软件开发和管理流程。
XcodeGhost的作者正是利用开发人员的习惯,将非官方、注入恶意代码的Xcode的下载链接,通过技术论坛散播。这种直接针对开发人员的手段虽然少见,但方法却是黑客常用的社会工程手段,也就是我们常说的“钓鱼”。
XcodeGhost的恶意代码托管在亚马逊的云服务器上。公有云已成为恶意代码分发、中转和远程控制的策源地。据估算,这次XcodeGhost在亚马逊上光是为产生的恶意流量所付的费用就在几千到一万美元不等。
9月19日凌晨,名为“XcodeGhost-Author”的新用户发布一条微博,声称XcodeGhost只是一个试验性质项目。大多数技术人员对此半信半疑。因为这些恶意代码注入的同时,也为二次攻击提供了便利。它随后可以方便地完成恶意弹窗推广,并进一步获取敏感信息。
病毒经过周末两天的发酵后,9月21日周一,奇虎360安全NiranTeam团队做了一次摸底普查,发现多达1078款App在此次事件中被感染。腾讯安全应急响应中心保守估计,受这次事件影响的用户数超过1亿。苹果官方应用商店将被感染应用下架,各家厂商也纷纷使用官方的Xcode发布、更新最新的版本。同时,有人发现被仿冒的苹果网站,也就是远控服务器早在今年5月就停止使用了—这场让中国大半个移动网络都受到波及的“野火”似乎就此扑灭。
“不要使用公共Wi-Fi。”潘博文并不放心。虽然,原来的远控服务器已经失效了,但在公共Wi-Fi的条件下,攻击者可以构造出一个网络环境,令恶意代码以为重新连接到了远控服务器,并重启新的攻击行为。
果然,他的担心不是多余的。9月22日凌晨,阿里巴巴移动安全部门的技术人员发了一条微博,“XcodeGhost作者居然在几分钟前又编辑曾经下毒的帖子。”一款名为Unity3D的底层开发工具被感染恶意代码—它广泛应用于3D图形软件中。而此次恶意代码扩散范围可能由iOS扩大到MacOS,甚至是拥有更多用户的安卓系统。
看来,病毒仍在蔓延。“国内安全行业与网络灰色产业第一次浮出水面如此轰轰烈烈的巅峰大对决,第二季开播……”知道创宇技术副总裁余弦在微信朋友圈感慨到。
不幸的是,由于中国网络环境的不完善,第一季获胜的是后者。而使用者激增的苹果系统,再也不是什么安全圣地。
这些被感染的苹果App,会收集苹果移动设备和App上的基本信息,比如系统版本、应用名称、用户所在国家和使用的语言等等,在用户没有任何察觉的情况下,通过后台发送到一个仿冒苹果的网站上。
更具危害的是,这个恶意代码还会接受远程指令,定向在手机客户端弹出消息或是推送“钓鱼页面”,诱导用户到仿冒的网站上,进一步窃取敏感信息。
“受影响的都是用户群比较广的App,并且有的是大公司。如果连大公司都中招,小公司的情况又会怎样?”作为开发过两款iOS和MacOS应用的程序员,周鼎对《第一财经周刊》说,他开始意识到问题的严重性。
周鼎测试了自己iPhone上的App。边测试,他边在微博上发布自己的检查结果。其检测手段非常简单,只要打开App,放它在后台运行,不需要特定的启动条件,恶意代码便会自动在App启动和关闭时,向特定服务器上发两次信息,其中包含了用户的种种信息。这时,再用网络工具检测手机的网络流量,如果发现有上述发送信息的行为,便可判断应用已经被感染。
一个应用检测需要15至30秒。一下午,周鼎测试了100多个应用,发现有5个应用被感染,其中,还有像同花顺这类和金融相关的应用。为了确保结果准确,每个App他都打开、关闭两次。测试完后,周鼎立刻删除了感染应用,修改了iCloud以及涉及到支付的应用的密码。
后来,周鼎从程序员的圈子里得知,这场病毒其实是一场埋伏已久的“预谋”。
安天移动安全武汉研发中心负责人潘博文,早在9月14日就知道了苹果设备可能将遭到病毒入侵。当天,国家互联网应急中心(CNCERT)也在官网上发布了公开预警。而前一天,腾讯网络安全部门将这一消息报告给了CNCERT。但安全技术人员每天见多了大量恶意代码和攻击,潘博文和同事们当时并没有意识到其严重性,只是觉得这一攻击手法比较少见。
XcodeGhost的作者将恶意代码注入到苹果App开发工具Xcode中,如果程序开发人员使用被感染的Xcode发布App,恶意代码就会转移并感染App。Xcode是大多数苹果App开发者都会使用的底层开发工具。这种手法就像是一次移动网络的“土壤污染”,土壤含有的毒素,会直接被植物吸收,继而危害人的安全。
9月18日,苹果App受到大量感染的那一天,美国安全厂商Palo Alto Networks也发布了分析报告,指出接受XcodeGhost发出信息的域名,从3月14日开始就有流量产生,此后流量一路飙升。这表明,感染事件从半年前就已经在不为人所知的情况下发生了。
而恰巧在这个时间点,美国发生了一次机密披露事件。美国中央情报局(CIA)前职员斯诺登手中掌握着大量美国国家安全局关于棱镜计划的秘密文档,并陆续披露给媒体。3月10日,他发布了一份CIA探讨“从软件开发工具着手,攻击MacOS和iOS”的文档,其攻击思路与XcodeGhost类似。2012年,CIA也曾资助机构研究用这种方式侵入的可能性。
但国外技术人员当时只是停留在探讨层面,该病毒能在中国形成大范围的“污染”,一定是诸多漏洞叠加造成的结果。
“中国网络环境特殊,从国外下载应用慢。久而久之,大家都习惯在国内找镜像(一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本),而不是直接从官网下载。”现在住在加拿大的程序员霍炬对《第一财经周刊》说。事件发生后,他专门写文章,表示这次事件的主因之一,即国内不规范的软件开发和管理流程。
XcodeGhost的作者正是利用开发人员的习惯,将非官方、注入恶意代码的Xcode的下载链接,通过技术论坛散播。这种直接针对开发人员的手段虽然少见,但方法却是黑客常用的社会工程手段,也就是我们常说的“钓鱼”。
XcodeGhost的恶意代码托管在亚马逊的云服务器上。公有云已成为恶意代码分发、中转和远程控制的策源地。据估算,这次XcodeGhost在亚马逊上光是为产生的恶意流量所付的费用就在几千到一万美元不等。
9月19日凌晨,名为“XcodeGhost-Author”的新用户发布一条微博,声称XcodeGhost只是一个试验性质项目。大多数技术人员对此半信半疑。因为这些恶意代码注入的同时,也为二次攻击提供了便利。它随后可以方便地完成恶意弹窗推广,并进一步获取敏感信息。
病毒经过周末两天的发酵后,9月21日周一,奇虎360安全NiranTeam团队做了一次摸底普查,发现多达1078款App在此次事件中被感染。腾讯安全应急响应中心保守估计,受这次事件影响的用户数超过1亿。苹果官方应用商店将被感染应用下架,各家厂商也纷纷使用官方的Xcode发布、更新最新的版本。同时,有人发现被仿冒的苹果网站,也就是远控服务器早在今年5月就停止使用了—这场让中国大半个移动网络都受到波及的“野火”似乎就此扑灭。
“不要使用公共Wi-Fi。”潘博文并不放心。虽然,原来的远控服务器已经失效了,但在公共Wi-Fi的条件下,攻击者可以构造出一个网络环境,令恶意代码以为重新连接到了远控服务器,并重启新的攻击行为。
果然,他的担心不是多余的。9月22日凌晨,阿里巴巴移动安全部门的技术人员发了一条微博,“XcodeGhost作者居然在几分钟前又编辑曾经下毒的帖子。”一款名为Unity3D的底层开发工具被感染恶意代码—它广泛应用于3D图形软件中。而此次恶意代码扩散范围可能由iOS扩大到MacOS,甚至是拥有更多用户的安卓系统。
看来,病毒仍在蔓延。“国内安全行业与网络灰色产业第一次浮出水面如此轰轰烈烈的巅峰大对决,第二季开播……”知道创宇技术副总裁余弦在微信朋友圈感慨到。
不幸的是,由于中国网络环境的不完善,第一季获胜的是后者。而使用者激增的苹果系统,再也不是什么安全圣地。