如何应对XcodeGhost事件?

本篇面对普通的智能手机用户,因此不会有太复杂的技术细节,希望能够提供风险预警和合理的保护措施指引。

什么是XcodeGhost事件?

简单说,有人在开发者的工具上做了一点手脚,凡是用这个动过手脚的开发工具上发布的App,均带有特定功能的后门。腾讯的安全团队在微信6.2.5发布版本上发现了这个问题后,提交给了中国国家计算机应急响应中心(CN-CERT),并及时发布了6.2.6的升级。随后在社交网络上,在网易承认他们的网易云音乐App受到感染后,这个问题逐渐得到关注,于18日开始得到大部分的国内安全、开发人员的关注。简单的过程可以参考 wiki: 2015年中国大陆苹果app泄漏事件,比较详细的细节可以参考针对此次XcodeGhost攻击行为的分析深扒300款iOS应用被植入恶意代码事件始末

初步分析

目前研究下来后门首先会收集使用者的初步信息,比如“应用名、应用版本号、系统版本号、语言、国家名、开发者符号、App安装时间、设备名称、设备类型”,提交到特定服务器。这里并没有什么太多的隐私信息,很大部分是因为苹果对于上App Store的App,有沙盒的限制,也就是说,只能访问特定的系统接口来获取信息,不能任意访问其他App和系统的其他部分,大部分的读写操作都是App范围内的区域。

这时,应对策略很简单,对于已经发现涉及的App,停止使用即可。至少从驻留任务中删除,如果担心的话,直接删除App即可。目前苹果已经将受到影响的App全部下架,升级版本一般会在2-4个星期后重新发布。

进一步研究

有安全团队进行了反编译深入研究,发现除了收集一些不太重要的信息外,这个幽灵还保留了几个比较危险的功能。
在提交信息得到应答后,可以根据应答做出几个自定义行为。这里的自定义行为包含弹出系统的对话框、利用URL的方式在App间进行跳转。
从苹果的系统限制来说,URL跳转是一个正常且受到保护的功能,比如在打电话的时候,会额外弹出一个窗口让用户确认,因此并不能造成明确的损害。但是这个功能灵活性大,能够跨越App之间传递一些数据,一旦发现某个App处理URL跳转的时候存在问题,那么就可以有针对性的进行攻击,导致严重后果。就算不是针对性攻击,通过URL直接安装或者替换一个App,也是存在可能性的,而这个不请自来的App没有经过苹果的审核流程,可能会存在不遵循沙盒限制的行为。
同样的,弹出系统对话框,也存在一些风险,比如如果仿冒一个内购的密码输入框等等,很可能会欺骗用户输入了他们的苹果账号的密码。我们知道,苹果账号很多都绑定了银行卡,或者有礼物卡的余额,一旦密码被盗就涉及到了钱的问题。
尽管这两点目前分析结果是风险不大:跳转功能只用来跳转到App Store的其他软件展示界面,用来引流;弹出对话框也只是用于消息提示,直接获取苹果账号可能还存在障碍。但一旦被充分利用了,就很危险了。

另有分析指出,在App内购完成后,这个幽灵会把返回的加密数据一并发送给服务器收集。由于数据是加密的,并不知道收集者如何利用或者解密数据。这个数据有点敏感,有可能包含你的信用卡信息和登录账号密码的某个等价授权。考虑到目前的云计算服务器的能力,一旦未来某天被解密出来后利用,还是有一点点小风险的。

综合上述讨论,修改苹果账号的密码是上策。

更多幽灵

经过几天发酵后,有消息说,有更多的开发工具受到影响。有两个有关游戏引擎的模块,也有被污染的版本,而游戏引擎是跨平台的。
这意味着三大智能平台手机,包括苹果的iOS、谷歌的Android和微软的Windows Phone均可能被幽灵染指。所不同的是,iOS系统限制严格,还不是很容易直接套取信息,而Android由于权限管理体系很多不能撤回,因此如果的确有可以执行的代码,那么其危害远大于iOS。

基于此,更好的办法就是,凡是在手机上输入过、临时保存过的所有密码,都要进行更换。

关于安全意识

在整个安全体系中,所有机制的安全级别提高后,往往人就成了安全的最薄弱环节。
幽灵躲在正常的App背后,无论做什么都是一件非常可怕的事情,因为它天然获取了人们对App的信任。
所以,提高人的安全意识是需要不懈余力地反复宣传的。开发者的错误让用户买单,这已经是一件非常丢人的事情了。

关于iOS的安全性

我仍然认为iOS在安全性和隐私保护上,比Android严格,因此就算有这样的幽灵事件,我还是觉得iOS的安全性高于Android。

作为手机用户我该做什么?

前文都已经给出恰当的建议了。最好呢,能够开启2步验证(如果支持),每个账号使用不同的密码。如果担心记不住密码,可以尝试使用Keepass Password Safe、1Password、Last Pass等密码管理软件或者服务。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 202,980评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,178评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,868评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,498评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,492评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,521评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,910评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,569评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,793评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,559评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,639评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,342评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,931评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,904评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,144评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,833评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,350评论 2 342

推荐阅读更多精彩内容

  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 171,376评论 25 707
  • 发现 关注 消息 iOS 第三方库、插件、知名博客总结 作者大灰狼的小绵羊哥哥关注 2017.06.26 09:4...
    肇东周阅读 12,016评论 4 62
  • “接下来,有请实验小学贺萍老师带来的独舞《梦幻花》,掌声欢迎!” 为了庆祝晋岭市建市50周年,市政府新...
    阿酱子阅读 440评论 0 4
  • 于叽叽(原创) 转眼间,距上篇发文已经过去快5个月了,虽然主要是因为拖延癌晚期发病一直在各种放化疗(头发掉了一堆这...
    于叽叽阅读 946评论 3 11