最近由于开发者从第三方渠道下载被植入了恶意代码的 iOS 应用开发工具 Xcode,许多 iOS 应用被感染病毒,虽然苹果已经紧急下架了不少使用过恶意代码的应用,而且代码作者也现身微博,并表现出一副好好少年的样子,声称早已关闭了服务器,且收集的数据仅为非敏感数据而已。事情到这里并没有结束。
今日凌晨, 乌云紧急发文 称虽然 XcodeGhost 作者的服务器关闭了,但是受感染的 app 的行为还在,这些 app 依然孜孜不倦的向服务器(比如 init.icloud-analysis.com,init.icloud-diagnostics.com 等)发送着请求。这时候黑客只要使用 DNS 劫持或者污染技术,声称自己的服务器就是“init.icloud-analysis.com”,就可以成功的控制这些受感染的 app。
更可怕的是,除了 Xcode 被感染,有证据表明 unity 4.6.4 – unity 5.1.1 的开发工具也受到了污染,并且行为与 XcodeGhost 一致。unity 4.6.4 – unity 5.1.1 是游戏开发常用工具,AppStore 中游戏数量之多,感染者的数目让人不寒而栗。要知道,诸如纪念碑谷等游戏都是用 Unity 开发的,国内游戏那么多,是否图方便而使用感染的开发工具,可能性太高了。
受感染的 App 可以被用于多种恶意行为,比如下载安装企业证书的 App;弹 AppStore 的应用进行应用推广;弹钓鱼页面进一步窃取用户信息;如果用户手机中存在某 url scheme 漏洞,还可以进行 url scheme 攻击等。其中最最最坏的可能要数感染金融相关的产品,这样你的银行账户、投资账户等有可能轻易的被坏人利用。
而且在致使那么多软件感染恶意代码后,XcodeGhost 的作者依然逍遥法外。虽然在微博中,作者装出一副诚恳道歉,并且“仅为实验”的纯好奇探索精神,但是乌云发现,在百度安全实验室确认 Unity 被感染后没多久,大家就开始在网上寻找被感染的 Unity 工具,结果作者搜到一个 Unity3D 下载帖子的时候发现“codeFun与2015-09-22 01:18编辑了帖子”!?这个 codeFun 就是那个自称 XcodeGhost 作者的人。他竟然也一直没睡,大半夜里一直在看大家发微博观察动静?随后发现大家知道了 Unity 也中毒的事情,赶紧去把自己曾经投毒的帖子删了?
但根据 XcodeGhost 作者没删之前的截图表明,从 unity 4.6.4 – unity 5.1.1 的开发工具都有可能被投毒了!事情还在发酵,请迅速移除被感染的 App,并且开启 iCloud 两步验证。如果你 iCloud 的密码是经常常用的,也许很多账号都不安全了。
开启两步验证方法
更详细的原文,可以移步乌云: 点击查看