XcodeGhost事件完整回顾：病毒危害全接触

　　黑客可在受感染的iPhone中弹出内容由服务器控制的对话框窗口：以及远程执行指令类似于，黑客也可远程控制弹出任意对话框窗口。至于用途，将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来，反正我们是能够通过这几个功能，用一点点社工以及诱导的方式，在受感染的iPhone中安装公司证书App。装App干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?

　　图9 控制远程弹窗的恶意代码片段

　　远程控制模块协议存在漏洞，可被中间人攻击：在进行样本分析的同时，我们还发现这个恶意模块的网络协议加密存问题，可被轻易暴力破解。我们尝试了中间人攻击，验证确实可代替服务器下发伪协议指令到手机，成为这些肉鸡的新主人。

　　图10 存在安全漏洞的协议解密代码片段

　　如果说这一次只是对iOS的客户一次预警，那么对iOS越狱客户来说，所要承担的风险就更多了，通过第三方应用市场安装的应用没有经过安全审核，使用破解版、修改版的应用以及游戏，黑客们全部可在其中加入恶意代码来收集客户信息，如苹果帐户密码及支付信息等。

　　前不久也是来自乌云漏洞平台上的白帽子爆出了让人震惊的内幕：iPhone抢红包插件居然暗中收集客户的iCloud账号与明文密码!据悉目前已有22万余客户已被黑。所以，越狱以后千万不要安装来历不明的应用以及插件，如果你的苹果账号密码被获取，轻一点的可能被利用于刷榜，严重点的能够锁定你的苹果设备，然后让你花钱解锁。

　　图11 最近出现不少iPhone被恶意锁定的事件

　　更新：涅盘团队(来自@360NirvanTeam)在进一步的分析中找到了XcodeGhost的恶意行为：

　　恶意行为一：做应用推广。途径是：首先检测客户手机上是否安装了目标应用，如果目标应用没有安装，则安装相应应用，其中目标应用由C2服务器控制。

　　恶意行为二：伪造内购页面。

　　恶意行为三：通过远程控制，在客户手机上弹窗提示。

　　XcodeGhost作者声明：这只是个错误的实验

　　然而随后一个疑似XcodeGhost作者的声明却是另一个的解释。作者声明XcodeGhost只是一个错误的实验，所收集的数据皆为基本的App信息，没有涉及客户的隐私信息，只是身处私信加入了广告功能，但是该广告功能没被使用。作者已主动关闭服务器，并且删除了一切收集的数据。

　　图12 疑似XcodeGhost作者的声明

　　不管如何，XcodeGhost事件都给国内软件工具厂商敲响了警钟。

　　开发工具为何不用官方网站？安卓更加凄惨

（编辑：衢州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!