日前資安業者Palo Alto Networks指出,中國開發者在不知情下使用遭駭客竄改含有XcodeGhost惡意程式的蘋果開發工具Xcode,導致不少知名合法app受到感染,竊取用戶裝置、app資料,甚至可能以釣魚方式取得用戶帳號密碼資料,截至目前為止,資安業者檢視受影響app數量高達到上千款,而且數量可能還會再增加。

該起事件的發現,源自於9月12日有人在騰訊微博上反應非官方下載的Xcode被植入第三方程式,並通報CNCERT。9月17日阿里巴巴安全團隊研究後證實此事,並將其命名為XcodeGhost。然後在Palo Alto Networks的揭露之後,受到全球的關注。

原先Palo Alto Networks以為XcodeGhost會上傳裝置、app資訊到C& C伺服器,更進一步研究發現XcodeGhost所能做的可能更多,例如接受駭客指示跳出警示視窗,誘騙使用者輸入帳號及密碼等個資,或是開啟URL利用釣魚網頁取得個資,以及存取剪貼簿的資料,如果使用者習慣將密碼儲存在剪貼簿就可能被竊。如果再進一步修改惡意程式碼,甚至可能以釣魚手法取得iCloud密碼。

不過,Appthority認為XcodeGhost與其他資安威脅相比,對裝置及企業安全的影響性相對較低,從蒐集資料的行為來看,與其說是惡意程式,反而較像是廣告程式(Adware),雖然影響性不高,但證實可透過改造開發工具感染大量合法app,繞過蘋果程式碼審查機制。

駭客透過竄改開發工具,使大量合法app受到感染吸引不少資安研究團隊對此案例感興趣,而且受影響app的數量似乎也不斷在攀升。原先Palo Alto Networks估計至少有39款app因此受感染,但條列出受影響的app數量將近百款。而Appthority團隊則指出,受感染的app數量已有476款

中國的奇虎360曾估計至少344款app受影響,但到9月21日更新感染數目已達1078,較知名者包括百度音樂,微信,高德,滴滴,花椒,58同城,網易雲音樂,12306,同花順,南方航空。360涅盤團隊。奇虎360並提供自動檢測工具。

趨勢科技指出,XcodeGhost可能引導使用者在App Store下載特定的app,或是傳送訊息給使用者,透過詐欺或釣魚的方式騙取個資。雖然XcodeGhost災情最嚴重為中國地區,但部份知名app開放國外下載,北美洲也是受害的地區。

這次XcodeGhost之所以發生,主因是中國開發者透過非蘋果官方管道下載開發工具Xcode,導致使用到被嵌入惡意程式碼的Xcode,使開發的合法app受到XcodeGhost感染。

趨勢科技資深技術顧問簡勝財表示,透過趨勢在中國研發團隊瞭解,當地開發者的文化,由於中國連外頻寬較低,下載國外大容量資料如4GB的Xcode需要花費相當的時間,因此中國開發者習慣從網路論壇或雲端硬碟等管道下載,要比從蘋果官方取得快許多。而由於中國對安全意識較薄弱,才會導致XcodeGhost感染許多app,目前過濾已有上千app受感染,數量仍在增加中。

XcodeGhost爆發後,阿里巴巴行動安全團隊在烏雲知識庫上與開發者社群分享對XcodeGhost的分析。經過分析,XcodeGhost會蒐集手機、app的基本資訊,如國家、使用語言、系統版本、應用名稱、時間,上傳的資料被送到init.icloud-analysis.com的伺服器,經追查為伺服器架構在Amazon的EC2上,目前伺服器已關閉。

他們建議開發者盡量自官方管道下載Xcode,如果還是必需從第三方下載,最好先檢驗是否為惡意版本。目前可能中毒的版本涵蓋Xcode 6.4、6.1,6.2、6.3等,最新的Xcode 7並未確定,建議開發者可以比對所下載版本及蘋果官方Xcode,檢查是否被嵌入CoreService。

至於一般消費者該如何自保?Lookout建議,如果手機中已安裝受感染的app可先刪除,等待業者釋出新版本再重新安裝,另外,因釣魚的風險增加,為確保帳號使用的安全性,最好修改Apple ID密碼,使用相同密碼的其他服務也最好一併更換密碼,並小心提防任何要求輸入個資的陌生電子郵件、訊息或對話視窗。

 


Advertisement

更多 iThome相關內容