示意圖

蘋果開發工具爆發XcodeGhost後,相關安全研究另提出警告,Unity、cocos2dx遊戲引擎也出現類似手法,被感染的遊戲引擎開發的遊戲,可能會竊取用戶資料,以網釣騙取帳號密碼、推送廣告等惡意行為。

正當外界忙於檢測清查受到XcodeGhost感染的應用數量之際,盤古越獄在9月22日凌晨在微博上警告,從一些證據來看,Unity與cocos2dx兩個遊戲引擎的下載地址也發現遭到下毒,與XcodeGhost相同的惡意攻擊散佈手法,懷疑為同一駭客所為。

百度安全實驗室也指出,知名遊戲引擎Unity被植入惡意程式碼,由於其惡意行為與XcodeGhost相同而稱為UnityGhost,唯一不同的是上傳資料位址改為init.icloud-diagnostics.com。

Unity為遊戲開發工具,可用於開發3D視訊遊戲、即時3D動畫,可將遊戲發佈到Windows、OS X、Android等平台。該團隊觀察Unity 4.x及5.1.x等版本已有被感染,由於被駭客竄改的版本沒有數位簽章,他們建議遊戲開發者可從此判斷使用的是官方還是被竄改的惡意版本。

阿里移動安全團隊在烏雲知識庫上表示,當百度安全實驗室指出Unity遭植入惡意程式的不久,阿里在網路上搜尋被感染的Unity樣本時,發現其中一個Unity載點的提供者竟是先前以XcodeGhost作者為名義發文道歉的Codefun,從該載點最後修改時間顯示Codefun也忙於刪除載點,懷疑unity 4.6.4到5.1.1版本可能也被下毒。

阿里移動安全團隊透過百度安全實驗室取得惡意的UnityGhost程式碼樣本,發現其惡意行為跟XcodeGhost相似,UnityGhost同样可以進行多種惡意行為,例如下載安裝企業證書的app、導引推廣AppStore某項應用程式、跳出釣魚頁面騙取用戶資料,如果用戶手機中存在url scheme漏洞還可趁機發動攻擊。與XcodeGhost不同的是,UnityGhost連接的是init.icloud-diagnostics.com的伺服器。

對於已經被揭露的XcodeGhost,阿里移動安全團隊認為雖然現今與XcodeGhost連結的伺服器(init.icloud-analysis.com)已關閉,但被感染的app在手機中仍然可以運作,其他駭客仍可透過挾持DNS或污染技術讓自己的伺服器成為init.icloud-analysis.com,繼續從事惡意行為。建議用戶刪掉已被發現被感染的app。

中國爆發XcodeGhost,至今已被檢測出染毒的蘋果應用程式已超過4000款,廣泛引起全球資安界的注意,雖然作者出面道歉表示這只是一場錯誤的實驗,受感染的程式並為威脅行為。但一些資安研究顯示,案情可能不這麼單純。Threatbook在微博發文指出XcodeGhost若干疑點,從XcodeGhost通訊的伺服器位址init.icloud-analysis.com進行關聯分析,可能和今年8月PaloAlto Networks揭露竊取22.5萬筆蘋果帳號的駭客團體KeyRaider有某種關聯,因KeyRaider曾向init.icloud-analysis.com發送訊息,不過也有可能是KeyRaider使用了被感染的XcodeGhost。

不論是蘋果開發工具的XcodeGhost,或是感染遊戲引擎的UnityGhost,這次駭客在開發工具中植入惡意程式,導致大規模感染事件,都讓開發者上了一課,就如同最先發現XcodeGhost威脅騰訊發佈的警示結語,所謂工欲善其事,必先利其器,為避免受害最好的方式還是從官方管道取得資源較妥當。


Advertisement

更多 iThome相關內容