据 ThreatPost 报导,网络安全团队 FireEye 发现,最近一次升级后,新版的 XcodeGhost 已经开始支持开发 iOS 9 App 的 Xcode 7,并且采用了新的技术使自己更难被检测出来。
新版 iOS 只允许 HTTPS 加密连接,但苹果也允许了开发者在某些例外情况下使用非加密连接。新版的 XCodeGhost 正是利用了这种例外情况,连接到 XCodeGhost 的 C&C (命令控制服务器)传输使用者泄露的资料。
为了避免被基于静态检测的安全工具所发现,XcodeGhost 还透过一种新技术来掩盖其 C&C 服务器。其代码中不再使用硬编码位址,而是转而采用了按字元来组装的 URL。
FireEye 称,iOS 9 版的 XCodeGhost 同时也引入了新的混淆机制,使它更难被发现。
FireEye 已经将发现报告给苹果,并且发现一款名为“自由邦”的旅行 App 感染了新版的 XcodeGhost 病毒。目前这款 App 已经被中国区和美国区 App Store 下架。
此外,FireEye 还指出,感染了 XcodeGhost 病毒的 App 已经不再限于中国区的 App Store,在全球都有分发。
今年 9 月中旬,有消息爆出中国多个厂商的大牌应用程序,使用了协力厂商途径下载的 Xcode 开发工具(非 Apple 正规途径),用了这个“李鬼开发工具”编译出来的 App,被注入了协力厂商的代码,会向一个网站(http://init.icloud-analysis.com)上传使用者资料,这个网站是病毒作者用来收集使用者资料的,而这个潜在了极大危害的病毒名就叫 XcodeGhost。
一开始,关注此事的 iOS 开发者并没有太重视,但在仔细察看研究之后,发现这个病毒的危害被低估了。
比如,在中毒的应用程序中进行一次 IAP(In-App Purchase,智慧行动终端应用程序付费的模式)内购,此时输入的密码或者 Touch ID 后,就有加密资料发往目标服务器,现在不清楚加密资讯是什么。因此,下载了中招应用程序的使用者密码都存在泄露的危险。
不少厂商都及时更新了自己的 App,苹果也在官网给出相关的解释。
(本文由 爱范儿 授权转载)
延伸阅读:
- iOS App 安全危机,XcodeGhost 木马入侵多款中国软件
- 关于造成 iOS 大危机的 XcodeGhost 病毒,后续三点更新
