新版 XcodeGhost 病毒已經支持 iOS 9,並且更難發現


據 ThreatPost 報道,網絡安全團隊 FireEye 發現,最近一次升級後,新版的 XcodeGhost 已經開始支持開發 iOS 9 app 的 Xcode 7,並且採用了新的技術使自己更難被檢測出來。

新版 iOS 只允許 HTTPS 加密連接,但蘋果也允許了開發者在某些例外情況下使用非加密連接。 新版的 XCodeGhost 正是利用了這種例外情況,連接到 XCodeGhost 的 C&C (命令控制服務器)傳輸用户泄露的數據。

為了避免被基於靜態檢測的安全工具所發現,XcodeGhost 還通過一種新穎的技術來掩蓋其 C&C 服務器。其代碼中不再使用硬編碼地址,而是轉而採用了按字符來組裝的 URL。

FireEye 稱, iOS 9 版的 XCodeGhost 同時也引入了新的混淆機制,使它更難被發現。

FireEye 已經將發現報告給蘋果,並且發現一款名為“自由邦”的旅行 app 感染了新版的 XcodeGhost 病毒。目前這款 app 已經被中國區和美國區 App Store 下架。

此外,FireEye 還指出,感染了 XcodeGhost 病毒的 app 已經不再限於中國區的 App Store,在全球都有分發。

今年 9 月 中旬,有消息爆出國內多個廠商的大牌應用使用了第三方途徑下載的 Xcode 開發工具(非 Apple 正規途徑),用了這個“李鬼開發工具”編譯出來的 App 被注入了第三方的代碼,會向一個網站(http://init.icloud-analysis.com)上傳用户數據,這個網站是病毒作者用來收集用户數據的,而這個潛在了極大危害的病毒名就叫 XcodeGhost。

一開始,關注此事的 iOS 開發者並沒有太重視,但在仔細查看研究之後,發現這個病毒的危害被低估了。

比如,在中毒的應用中進行一次 IAP(In-App Purchase,智能移動終端應用程序付費的模式)內購,此時輸入的密碼或者 Touch ID 後,就有加密數據發往目標服務器,現在不清楚加密信息是什麼。因此,下載了中招應用的用户的密碼都存在着泄露的危險。

不少廠商都及時更新了自己的 app,蘋果也在官網給出了相關的解釋


資料來源:愛範兒(ifanr)
作者/編輯:歐狄

如果喜歡我們的文章,請即分享到︰