本篇面对普通的智能手机用户,因此不会有太复杂的技术细节,希望能够提供风险预警和合理的保护措施指引。
什么是XcodeGhost事件?
简单说,有人在开发者的工具上做了一点手脚,凡是用这个动过手脚的开发工具上发布的App,均带有特定功能的后门。腾讯的安全团队在微信6.2.5发布版本上发现了这个问题后,提交给了中国国家计算机应急响应中心(CN-CERT),并及时发布了6.2.6的升级。随后在社交网络上,在网易承认他们的网易云音乐App受到感染后,这个问题逐渐得到关注,于18日开始得到大部分的国内安全、开发人员的关注。简单的过程可以参考 wiki: 2015年中国大陆苹果app泄漏事件,比较详细的细节可以参考针对此次XcodeGhost攻击行为的分析 和 深扒300款iOS应用被植入恶意代码事件始末
初步分析
目前研究下来后门首先会收集使用者的初步信息,比如“应用名、应用版本号、系统版本号、语言、国家名、开发者符号、App安装时间、设备名称、设备类型”,提交到特定服务器。这里并没有什么太多的隐私信息,很大部分是因为苹果对于上App Store的App,有沙盒的限制,也就是说,只能访问特定的系统接口来获取信息,不能任意访问其他App和系统的其他部分,大部分的读写操作都是App范围内的区域。
这时,应对策略很简单,对于已经发现涉及的App,停止使用即可。至少从驻留任务中删除,如果担心的话,直接删除App即可。目前苹果已经将受到影响的App全部下架,升级版本一般会在2-4个星期后重新发布。
进一步研究
有安全团队进行了反编译深入研究,发现除了收集一些不太重要的信息外,这个幽灵还保留了几个比较危险的功能。
在提交信息得到应答后,可以根据应答做出几个自定义行为。这里的自定义行为包含弹出系统的对话框、利用URL的方式在App间进行跳转。
从苹果的系统限制来说,URL跳转是一个正常且受到保护的功能,比如在打电话的时候,会额外弹出一个窗口让用户确认,因此并不能造成明确的损害。但是这个功能灵活性大,能够跨越App之间传递一些数据,一旦发现某个App处理URL跳转的时候存在问题,那么就可以有针对性的进行攻击,导致严重后果。就算不是针对性攻击,通过URL直接安装或者替换一个App,也是存在可能性的,而这个不请自来的App没有经过苹果的审核流程,可能会存在不遵循沙盒限制的行为。
同样的,弹出系统对话框,也存在一些风险,比如如果仿冒一个内购的密码输入框等等,很可能会欺骗用户输入了他们的苹果账号的密码。我们知道,苹果账号很多都绑定了银行卡,或者有礼物卡的余额,一旦密码被盗就涉及到了钱的问题。
尽管这两点目前分析结果是风险不大:跳转功能只用来跳转到App Store的其他软件展示界面,用来引流;弹出对话框也只是用于消息提示,直接获取苹果账号可能还存在障碍。但一旦被充分利用了,就很危险了。
另有分析指出,在App内购完成后,这个幽灵会把返回的加密数据一并发送给服务器收集。由于数据是加密的,并不知道收集者如何利用或者解密数据。这个数据有点敏感,有可能包含你的信用卡信息和登录账号密码的某个等价授权。考虑到目前的云计算服务器的能力,一旦未来某天被解密出来后利用,还是有一点点小风险的。
综合上述讨论,修改苹果账号的密码是上策。
更多幽灵
经过几天发酵后,有消息说,有更多的开发工具受到影响。有两个有关游戏引擎的模块,也有被污染的版本,而游戏引擎是跨平台的。
这意味着三大智能平台手机,包括苹果的iOS、谷歌的Android和微软的Windows Phone均可能被幽灵染指。所不同的是,iOS系统限制严格,还不是很容易直接套取信息,而Android由于权限管理体系很多不能撤回,因此如果的确有可以执行的代码,那么其危害远大于iOS。
基于此,更好的办法就是,凡是在手机上输入过、临时保存过的所有密码,都要进行更换。
关于安全意识
在整个安全体系中,所有机制的安全级别提高后,往往人就成了安全的最薄弱环节。
幽灵躲在正常的App背后,无论做什么都是一件非常可怕的事情,因为它天然获取了人们对App的信任。
所以,提高人的安全意识是需要不懈余力地反复宣传的。开发者的错误让用户买单,这已经是一件非常丢人的事情了。
关于iOS的安全性
我仍然认为iOS在安全性和隐私保护上,比Android严格,因此就算有这样的幽灵事件,我还是觉得iOS的安全性高于Android。
作为手机用户我该做什么?
前文都已经给出恰当的建议了。最好呢,能够开启2步验证(如果支持),每个账号使用不同的密码。如果担心记不住密码,可以尝试使用Keepass Password Safe、1Password、Last Pass等密码管理软件或者服务。
网友评论