转载

安全半月谈：细思恐极的移动应用后门和企业开发之困

安全要闻

“移动安全的引爆点还没有到来，所有在PC上发生过的安全问题，在移动端都会一一重现。”吴瀚清和大牛蛙都曾发表过类似的观点。

愈演愈烈XcodeGhost后门事件

“30年前 Ken Thompson那个在编译器里留后门的点子，现在终于被黑产用上了。”TK教主如是说。

9月14日，国家互联网应急中心发布了“ 关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报 ”。随后，苹果公司官方也发布了公告。9月17日，第三方安全漏洞平台乌云网发布了《 Xcode编译器里有鬼–XcodeGhost样本分析》的报告，

9月19日，一位自称是XcodeGhost事件主导者的网友发微博声明称，这只是实验项目，无任何危险，更不会获取用户的隐私数据。

但各安全平台显然不这么认为，腾讯安全应急相应中心（TSRC）发布了事件报告，乌云网对 XcodeGhost样本进行了分析，看雪安全论坛进行了详细的分析，来自四叶草安全组织的Saic则分析了 XcodeGhost的用途。有人干脆录制了 XcodeGhost恶意推广应用演示视频。腾讯玄武实验室发布了家用路由器检查 iPhone 是否感染了 XcodeGhost ，国内著名iOS越狱团队盘古则释出了 iPhone移动版 Xcode病毒检测工具。

然而，如果你以为事情这样就结束了未免言之过早。本月，安全公司 FireEye发布报告，称 XcodeGhost新变种已经进化到可以支持 iOS 9版本；截止到11月4日，FireEye确认有2,846个苹果APP受XcodeGhost新变种的影响（主要是使用移动广告平台商艾德广告 mobiSage SDK 所致，目前该厂商已经公布相应的处理方案）。

因此，有人称，这是 App Store“ 自2008年上线以来遭受的规模最大的攻击。 ”也不无道理。

不得不说的百度“全家桶”

知乎上有个帖子，问为什么有人说“ 「百度全面降低了中国的互联网体验」 ”？不得不说，乌云网曝出的百度“WormHole后门”事件令国产软件厂商再次蒙羞。该漏洞存在于百度公司开发的Moplus SDK中，其中包括4014款百度官方Android应用，尽管百度第一时间升级了SDK，但趋势科技随后发布报告认为危害亦然存在。

有研究人员认为该漏洞危害超过 Stagefright 。由于影响较大，除了乌云网的分析报告，传统安全厂商绿盟科技也分析了该漏洞。随着事态的发展，安全界将该后门认定为安全漏洞。安卓用户可以点击这里进行漏洞检测。

正当大家要松一口气的时候， FireEye又发布了一则安全报告，发现 App Store中有2846个APP携带疑似”后门”行为的广告库 mobiSage ——又一款国产第三方广告平台，黑客通过这些APP可控制用户的手机。这一次iOS和Android同时中招。

安全开发

令人嗔目结舌的Redis后门植入

正当全国人民都沉浸在“双十一”的狂欢中时，知道创宇发布了一则Redis安全报告，造成这个安全漏洞的根源在于 Redis不当的默认配置已经安全运维人员的疏忽，使其暴露在公网中，从而被攻击者非法登录。乌云网随后发布了 Redis后门植入的分析报告。据了解，国内互联网遭到了全网性入侵，上万家暴露的Redis服务器被入侵。建议企业运维人员及时查看Redis服务的端口情况以及认证机制是否开启认证或存在弱口令；同时检查Redis服务root的.ssh目录下是否出现非法的Key。

丧心病狂的Java反序列化

“一波还未平息一波又来侵袭。”2015年11月6日，国外 FoxGlove安全研究团队于在其博客上公开了一篇关于常见 Java应用如何利用反序列化操作进行远程命令执行的文章。 Java在进行反序列化操作的时候会使用 ObjectInputStream类调用 readObject()方法去读取传递过来的序列化对象字节流进行处理，利用 Apache Commons Collections库恰好可以构造出了一个在反序列化操作时能够自动执行命令的调用链。乌云网对该漏洞导致的RCE 进行了分析。

目前全球使用Java语言的网站有453,342个。基于Jenkins的网站有11,059个，基于JBoss的网站有29,194，基于WebSphere的网站有2,076个。该漏洞在最新版的WebLogic、WebSphere、 JBoss 、Jenkins、OpenNMS中都可实现远程代码执行。更为严重的是，在漏洞被发现的9个月后依然没有有效的Java库补丁来针对受到影响的产品进行加固。中、美两国是Java语言使用大户，而中国境内共有128032个网站使用Java语言…… 整个世界都不好了。

黑哥称这次 Java反序列化漏洞“覆盖面会很大，将持续N年。”绿盟科技给出的临时解决方案如下：

•使用 SerialKiller 替换进行序列化操作的ObjectInputStream类。 •在不影响业务的情况下，临时删除掉项目里的"org/apache/commons/collections/functors/InvokerTransformer.class"文件。 •Jboss可以选择关闭jmx-console。

官方解决方案暂无。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博（@InfoQ，@丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入InfoQ读者交流群安全半月谈：细思恐极的移动应用后门和企业开发之困）。