蘋果攻擊事件幕後:Wirelurker 竊取的隱私如何被售賣
麥芽地網站上傳播的「Wirelurker」木馬估計讓不少人震驚,未越獄的iPhone並非想像中安全,隱私洩露、遠端控制這類病毒木馬還是能存在。
PANW的研究報告中顯示,「Wirelurker」至少存在了6個月之久,受感染軟體被下載超過35萬次。直到被外媒曝光,蘋果才反應過來修復。在這起事件中,「Wirelurker」木馬傳播網站麥芽地、國內外安全機構、蘋果究竟做了什麼?在充當怎樣一個角色?被「Wirelurker」所竊取的個人隱私又去了哪裡?所有細節都是未知。雷鋒網採訪了幾位當事人,希望能還原「Wirelurker」幕後的真實情況。
能向未越獄iPhone安裝協力廠商應用並不稀奇「Wirelurker」木馬被外媒廣泛宣傳的一點,是能向未越獄iPhone安裝應用,但事實上它在國內並不稀奇。「Wirelurker」利用的是名為「企業部署」技術,國內如PP助手、快用助手也是使用這種技術來安裝應用。
這其實是一種濫用。「企業部署」是蘋果為企業IT部門所準備,主要針對企業內蘋果設備過多而推出的一種批量管理技術。
目前蘋果已經撤銷惡意軟體的(企業)安裝證書,因此這些軟體將無法再像以前一樣安裝。
被竊取的使用者資料將去哪裡?「Wirelurker」會向iPhone內安裝推廣應用和木馬應用,然後將iPhone內的通訊錄、短信、瀏覽器等個人資料上傳至指定伺服器。接下來,資料會去哪?
一位iOS安全人員告訴雷鋒網,一般來說這些資料都會流入地下黑產交易市場,那裡有很成熟的處理機制。通訊錄一般用作電話行銷和iMessage廣告,通常行銷廣告都是從這裡知道你朋友的姓名和電話;短信、通信記錄等用作大資料分析,分析個人喜好做精准投放;如果你還被安裝了鍵盤間諜應用,那麼帳號密碼洩露然後分門別類到相應資料庫中也是很常見的。
其中iCloud帳號密碼還有特別用處。如果某天你的iPhone被某位高科技小偷順走,Ta第一件事就是去iCloud庫裡找是否有你的帳號密碼,解除「找回iPhone」綁定後,這台手機基本就找不回來了。
6個月內,麥芽地在幹什麼?雷鋒網聯絡到麥芽地CEO陳鵬,他目前正在處理此事。
麥芽地分為兩部分,論壇、下載站。下載站(PANW報告內所稱的App Store)內容有網站方主動在國外抓取、也有使用者分享應用。陳鵬稱,他對「Wirelurker」一直不知情,雖然站內有使用者回饋曾出現「被安裝iPhone應用」的情況,但限於能力精力一直沒有太過留意。直到PANW公佈此事後,他才確認有木馬一事,並在第三天應急關閉了麥芽地下載站。
陳鵬對雷鋒網表示,由於個人從事行銷方面工作,對技術不太瞭解,因此這件事情雖然有聽聞,卻無能為力。麥芽地曾經融過一筆錢,但這個網站一直處在虧損狀態,2012年後另一位合夥人出走後,陳鵬逐步也從網站淡出,只有少數精力在做刪帖、日常系統維護等事宜。
陳鵬與麥芽地所代表的,是中國Mac應用生態的一個縮影,業內並不止他們一家處於這樣狀態,在「Wirelurker幕後(下)」中,我們將對這部分進行講解,敬請期待。
(關於麥芽地與littledew@V2EX爆料、麥芽地與段治&盛峰律師事務所兩段關係,雷鋒網將另起一文報導,目前還有部分資料不足,各位讀者如有知情者,可加微信ilongye爆料)
資料來源:雷鋒網 作者/編輯:LongYe