Android 用户别笑隔壁家的 XcodeGhost 了,其实投毒者不挑平台

公司

2015-09-22 12:18

在国内 XcodeGhost 病毒爆发攻破 iOS 安全壁垒的时候,其实还是有不少 Android 用户是在看笑话的。但是事实告诉我们,Android 平台的安全性也非常让人堪忧,过往的例子已经说得够多了。但是在 XcodeGhost 这件事的后续发酵上,Android 手机也未能逃脱投毒者的魔爪。

在谈 Android 的事情前,我们还是来回顾一下 XcodeGhost 在 iOS 上发酵到何种程度:

  • 进展一:疑似投毒者在社交网络现身,表示这次恶意篡改 Xcode 只是一场实验,没有进行恶意活动。但是根据后续发展,还有众多网络安全从业者分析,这个声明不可信。
  • 进展二:根据昨天傍晚盘古团队的数据,他们的云端被感染列表库中已经有 4389 条记录,其中某些应用有多个版本被感染,覆盖 3418 个不同的应用。并且他们推断,App Store 中被感染的应用要远大于这个数字。
  • 进展三:360 涅槃团队日前还原了恶意 iOS 应用与 C2 服务器的通信协议,从而可以实际测试受感染的 iOS 应用可以有哪些恶意行为,主要包括 “做应用推广,伪造内购页面,通过远程控制在用户手机上弹提示” 三种。

2015

(安全团队用后门模拟可能的恶意行为)

并且绿盟科技还表示,这些后门的存在还可以发起更为恶劣的行为,比如发起 DDoS 攻击。

同时,在这份 9 月 20 号的报告中,绿盟科技还提到了 Android 的类似的安全隐患

Android 平台对于 APP 的审核更为糟糕,Google 是完全被封闭的,国内的开发者完全只能从非官方渠道下载,且其 app 市场更为混乱,一旦发生安全事件,影响更为恶劣。

果不其然,今天,阿里移动安全发布报告

虽然 XcodeGhost 作者的服务器关闭了,但是受感染的 app 的行为还在,这些 app 依然孜孜不倦的向服务器(比如 init.icloud-analysis.com,init.icloud-diagnostics.com 等)发送着请求。这时候黑客只要使用 DNS 劫持或者污染技术,声称自己的服务器就是”init.icloud-analysis.com”,就可以成功的控制这些受感染的 app。

在 360 涅槃团队总结的可能的攻击行为之外,阿里移动安全经过测试发现,XcodeGhost 的存在还可以下载企业证书签名的 app,定向在客户端弹(诈骗)消息,推送钓鱼页面等等,危害用户安全。

另外,百度安全实验室还披露另一个令人震惊的消息:

在大家以为一切都完结的时候,百度安全实验室称已经确认”Unity-4.X 的感染样本”。并且逻辑行为和 XcodeGhost 一致,只是上线域名变成了 init.icloud-diagnostics.com。这意味,凡是用过被感染的 Unity 的 app 都有窃取隐私和推送广告等恶意行为。

Unity 是由 Unity Technologies 开发的一个让玩家创建诸如三维视频游戏、实时三维动画等类型互动内容的多平台的综合型游戏开发工具,很多有名的手机游戏比如神庙逃亡,纪念碑谷,炉石传说都是用 Unity 进行开发的,包括 Android 版。Unity 4.6.4 – Unity 5.1.1 各个版本都有可能被篡改。而且在这个消息被曝出后,之前疑似 XcodeGhost 投毒者,网名为 coderFun 的人半夜开始删除之前散播的被感染的 Unity 帖子,这极有可能意味着,制作被感染的 Xcode 和 Unity 是同一个人或团队。

随着 Unity 感染被确定,是时候给出对于 Android 系统的安全预警了,在这件事情的持续发酵下,并且国内 Android 系统版本演化更复杂,应用商店割据更严重,预计 Android 系统手机面临的安全问题更为琐碎,更难以解决。

 

题图系《2012》剧照

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中

在命运的塑料大棚里,每棵被喷了过多农药的白菜心中,都曾经有一个成为无公害有机蔬菜的梦想。

本篇来自栏目

解锁订阅模式,获得更多专属优质内容