中国的 iPhone 开发者论坛 WeipTech(威锋技术组) 最近在研究一桩骇客案件的时候,追踪到一台服务器上,结果发现这台服务器上头储存了 22 万 5 千笔 iPhone 使用者的账号以及密码,之后网络资安公司 PaloAlto 持续调查,发现了幕后元凶为一个名为 KeyRaider 的恶意软件。
事件起因在 8 月 25 日,在中国“威锋技术组”的微博发表了这项资讯:“威锋技术组的一位小伙伴发现,在某红包类助手,该外挂透过后台注入存在收集用户 iCloud 用户账号、密码行为。透过漏洞检测发现共有 20 万个左右有效的 iCloud 账号与密码。请使用了红包类助手的朋友立即修改密码!也奉劝某红包类助手外挂,请尽快收手,更多收集工作威锋技术组正在全面展开。”
之后威锋技术组成员想办法从服务器上下载这些被窃的账号资讯,不过他们表示,泄露的 22 万笔账号,他们只抓下 12 万笔的时候,对方就发现并且将后台清除了。不过他们表示,这次的盗号事件和刀八木(Cydia 中的特定源)有脱不开的关系!如果有安装它的插件(不管什么插件)请全部移除,并更改全部与 Apple 相关的密码。
他们进一步从这些资讯中分析,被泄露盗取的 Apple ID 的有效资料量为 105,275 条,其中来源八木的有 69,485 条,来源 iwexin 的有 9,223 条。
▲ 威锋技术组找到这个服务器后台的漏洞,利用这个漏洞去抓取被窃取账号的数据库。
威锋技术组有提供一个查询网址,可以供使用者查询自己的 iCloud 账号是否被窃取。而为了保护使用者隐私,防止密码二次泄露,该查询工具只会显示被盗密码前后的资料,其他部分均予以隐去。
KeyRaider 的作用
在 8 月 27 日苹果官方的安全部门向威锋技术组索取相关账号,针对这批账号进行安全措施。因此在这段时间,如果使用者登入 iCloud 被要求修改自己的密码,就有可能是这个账号已经存在泄漏名单中。
网络资安公司 PaloAlto 针对这事件进行调查,受害的国家包括有中国、美国、英国、法国、俄罗斯以及日本、新加坡等 18 个国家,这也是 iPhone 推出以来至今爆出最大规模的恶意软件入侵事件。PaloAlto 进一步研究服务器中的这些账户资料,有一半以上的注册账号都来自 qq.com、sina.com、163.com、139.com 等信箱,显示中国的受害者数量至少占了一半以上。
PaloAlto 借由威锋技术组所提供的资讯,进一步发现这个服务器不光仅仅只有窃取账号密码,并且还锁定使用者手机、向被害者勒赎等功用,他们将这个恶意程式命名为 KeyRaider。由于越狱后的 iPhone 可以允许 App 拥有很大的权限,因此也使得这个 KeyRaider 恶意软件可以入侵越狱后的 iOS 装置,窃取使用者的账号以及密码资料。
KeyRaider 透过 Cydia 这个第三方应用程序库中一些不安全的“源”来传播,可以窃取使用者的 iCloud 账户以及汇款的资料,然后将这个资料传送到另外一个服务器。当使用者的资料被窃取后,骇客就可以利用他的资讯,在其他的 iOS 装置上购买 App,但是金额由受害者支付。此外,KeyRaider 还是一款勒索软件,它会导致 iPhone 锁机无法开机,等到受害者支付赎金之后,才能继续使用手机。
苹果并没有针对这个事件进行任何评论。不过,在这起事件中,没有越狱的 iPhone 使用者并不用担心。
- 威锋技术组查明部分苹果账号被盗真相
- KeyRaider: iOS Malware Steals Over 225,000 Apple Accounts to Create Free App Utopia
- ‘KeyRaider’ malware harvests 225,000 Apple IDs from jailbroken iOS devices
(本文由 T客邦 授权转载;首图来源:iCloud)
