在中国 XcodeGhost 病毒爆发攻破 iOS 安全壁垒的时候,其实还是有不少 Android 用户是在看笑话的。但是事实告诉我们,Android 平台的安全性也非常堪忧,过往的例子已经说得够多了。但是在 XcodeGhost 这件事的后续发酵上,Android 手机也未能逃脱投毒者的魔爪。
在谈 Android 的事情前,我们还是来回顾一下 XcodeGhost 在 iOS 上发展到何种程度:
- 进展一:疑似投毒者在社群网络现身,表示这次恶意篡改 Xcode 只是一场实验,没有进行恶意活动。但是根据后续发展,还有众多网络安全从业者分析,这个声明不可信。
- 进展二:根据 21 日傍晚盘古团队的资料,他们的云端被感染列表库中已经有 4,389 条记录,其中某些应用程序有多个版本被感染,覆盖 3,418 个不同的应用程序。他们并推断,App Store 中被感染的应用程序远大于这个数字。
- 进展三:360 涅槃团队日前还原了恶意 iOS 应用程序与 C2 服务器的通讯协议,从而可以实际测试受感染的 iOS 应用程序可以有哪些恶意行为,主要包括“做应用程序推广、伪造内购页面,透过远端控制在用户手机上弹出提示”三种。
▲ 安全团队用后门模拟可能的恶意行为。
并且绿盟科技还表示,这些后门的存在还可以发起更为恶劣的行为,比如发起 DDoS 攻击。
同时,在这份 9 月 20 日的报告中,绿盟科技还提到了 Android 的类似的安全隐忧:
Android 平台对于审核 App 更为糟糕,Google 是完全被封闭的,中国的开发者完全只能从非官方管道下载,且其 App 市场更为混乱,一旦发生安全事件,影响更为恶劣。
果不其然,22 日,阿里巴巴行动安全发布报告:
虽然 XcodeGhost 作者的服务器关闭了,但是受感染的 App 的行为还在,这些 App 依然持续向服务器(比如 init.icloud-analysis.com、init.icloud-diagnostics.com 等)发送请求。这时候骇客只要使用 DNS 劫持或者污染技术,声称自己的服务器就是“init.icloud-analysis.com”,就可以成功的控制这些受感染的 App。
在 360 涅槃团队总结的可能的攻击行为之外,阿里巴巴行动安全经过测试发现,XcodeGhost 的存在还可以下载企业证书签名的 App,定向在用户端弹出(诈骗)消息、推送钓鱼页面等,危害使用者安全。
Unity 也有同样的安全问题
另外,百度安全实验室还披露另一个令人震惊的消息:
在大家以为一切都完结的时候,百度安全实验室称已经确认“Unity-4.X 的感染样本”,逻辑行为和 XcodeGhost 一致,只是上线域名变成了 init.icloud-diagnostics.com。这意味,凡是用过被感染的 Unity 的 App,都有窃取隐私和推送广告等恶意行为。
Unity 是由 Unity Technologies 开发的一个让玩家创建诸如三维影像游戏、即时三维动画等类型互动内容的多平台综合型游戏开发工具,很多有名的手机游戏比如《Temple Run》、《纪念碑谷》、《炉石战记:魔兽英雄传》都是用 Unity 进行开发的,包括 Android 版。Unity 4.6.4 – Unity 5.1.1 各个版本都有可能被篡改。而且在这个消息被曝出后,之前疑似 XcodeGhost 投毒者、网名为 coderFun 的人半夜开始删除之前散播的被感染的 Unity 贴文,这极有可能意味着,制作被感染的 Xcode 和 Unity 是同一个人或团队。
随着 Unity 感染被确定,是时候发出对 Android 系统的安全预警了,这件事情持续发酵,而且中国 Android 系统版本演化更复杂,应用商店割据更严重,预计 Android 系统手机面临的安全问题更为琐碎、更难以解决。
(本文由 爱范儿 授权转载;首图来源:Flickr/Perspecsys Photos CC BY 2.0)
延伸阅读:
- 苹果官方确认 XcodeGhost 感染部分应用程序:已着手删除
- iOS App 安全危机,XcodeGhost 木马入侵多款中国软件