文档章节

工具| XcodeGhost 5分钟快速自查

听云APM
 听云APM
发布于 2015/09/23 17:27
字数 1479
阅读 910
收藏 12

距离XcodeGhost导致的严重安全问题被发现还不到一个星期,据观察,中招的App不管官方承没承认被感染,大部分都已最快速度更新了版本,但是,问题真的完结了吗?


整个XcodeGhost事件,互联网圈一直争论不休,从最早的“到底谁中招”慢慢演变成“中招后到底有什么影响”,关于直接的安全问题很多大牛意见纷纷,有的极大低估这次事件威胁,当然也有尽力描述事情严重性的,例如腾讯与公众号“歪理邪说”的霍炬。在腾讯的分析里面,说到OpenUrl可以弹出一个带有固定电话号码的弹窗,上面有“拨打”和“取消”,这看似没有公害的漏洞其实暗藏危机,而“歪理邪说”的霍炬的更是从“墙”、信任和欺骗的角度描写此次事件,看完以后我只想用他的一句话表达我的心情:“千万不要低估安全问题能造成的后果,尤其是在中国特殊的网络环境下”。


事实上,形势确实依然严峻,就在今日凌晨3点,第一个发布XcodeGhost事件的“乌云网”再次发布了相关文章,文章标题就叫“你以为服务器关了这事就结束了?”。凌晨3点,再次发声,其中的深意与担忧不言于表,借用作者的原话来描述就是:“虽然XcodeGhost作者的服务器关闭了,但是受感染的app的行为还在,这些app依然孜孜不倦的向服务器(比如init.icloud-analysis.com,init.icloud-diagnostics.com等)发送着请求。这时候黑客只要使用DNS劫持或者污染技术,声称自己的服务器就是“init.icloud-analysis.com”,就可以成功的控制这些受感染的app。”


根据乌云的介绍,在受感染的客户端App代码中,有个Response方法用于接收和处理远程服务器指令。Response方法中根据服务器下发的不同数据,解析成不同的命令执行,大致支持4种远程命令,通过命令的单独或组合使用可以产生多种攻击方式,大致可分为四种恶意行为:

  • 定向在客户端弹(诈骗)消息:该样本先判断服务端下发的数据,如果同时在在“alertHeader”、“alertBody”、“appID”、“cancelTitle”、“confirmTitle”、“scheme”字段,则调用UIAlertView在客户端弹框显示消息窗口。

  • 下载企业证书签名的App:当服务端下发的数据同时包含“configUrl”、“scheme”字段时,客户端调用Show()方法,Show()方法中调用UIApplication.openURL()方法访问configUrl。

  • 推送钓鱼页面:通过在服务端配置configUrl,达到推送钓鱼页面的目的,客户端启动受感染的App后,钓鱼页面被显示。

  • 推广AppStore中的应用:通过在服务端配置configUrl,达到推广AppStore中的某些应用的目的,客户端启动受感染的App后,自动启动AppStore,并显示目标App的下载页面。


这里只做简单的描述,如需了解实际的原理请搜索乌云网最新文章。当事情进行到这个程度,听云也为我们的用户捏了一把汗,在我们对用户的排查中发现,除去已经曝光的那一批APP以外,仍然有不少中小APP受到XcodeGhost的侵袭(不断向init.icloud-analysis.com或init.icloud-diagnostics.com两个域名发送请求),因为用户信息隐私原因这里不做公布,但是我们能够清晰的看到,早在XcodeGhost问题曝光之前,听云就已经监测到它的存在,并且,幽灵并没有消失。


这位客官问了,到了这个程度我们应该做什么?我想说,我们能做的很多,就从“听云App劫持分析”开始吧。听云App的劫持分析功能够帮助用户了解应用被运营商劫持的情况,用户白名单之外的域名会被列为劫持对象,简单几步,就能找出不属于自己的域名,即便是XcodeGhost这样的深藏于自身服务中的问题也能轻易发现,还没添加的同学赶紧来吧。

第1步:点此注册成为听云用户,进入后台根据步骤为你的APP嵌码。

第2步:点击听云App后台你创建的应用右上角齿轮“修改设置”进入设置页面。

第3步:在最下方找到“域名劫持设置”选项并打钩开启劫持分析功能,并把已知安全域名加入白名单(可多选)。注意,未知的域名请不要添加,比如下图中本次事件的主角。

第4步:稍后我们就能在后台应用分析的“劫持分析”选项看见相应数据,白名单之外的域名会被列为劫持对象在这里显示。如果这里列表中有确认安全的自身服务,可在域名后方点击加入白名单,相信经过一段时间排查后,App的劫持情况就能了然于胸了。




事情并没有结束,最新消息百度安全实验室称已经确认“Unity-4.X的感染样本”,并且逻辑行为和XcodeGhost一致,只是上线域名变成了init.icloud-diagnostics.com。防患于未然,从自身做起,这个事情或许能给我们一些启示:强如苹果Sandbox模式也不是固若金汤,能相信的人只有自己。听云建议大家,做好预防,从今天开始,从简单添加白名单开始,从坚持不断的复查开始,那样,即便再出现下一个XcodeGhost,也能尽早的把它们消灭掉。


© 著作权归作者所有

听云APM
粉丝 25
博文 2
码字总数 8763
作品 0
朝阳
部门经理
私信 提问
恶意软件 XcodeGhost 已更新,瞄准 iOS 9

通过重新打包Xcode并引诱开发者下载的方式,XcodeGhost恶意软件已经感染了无数iOS应用。然而在近期的一次升级之后,它已经将目标瞄向了iOS 9和更多美机构用户。这项发现由FireEye研究人员所披...

oschina
2015/11/04
5.5K
21
iOS警报:XcodeGhost已扩散至第三方框架

今年9月,苹果XcodeGhost事件引发了全社会的广泛关注,堪称App Store自2008年上线以来遭受的规模最大的攻击,涉及应用之广已完全超过想象,由此折射出当前互联网软件安全领域仍然存在严峻挑战...

一配
2015/11/13
91
0
苹果清除感染 XCodeGhost 的应用

苹果周日称它正从其应用商店内移除感染XcodeGhost的应用。恶意代码XcodeGhost通过第三方下载的Xcode编译器嵌入到了数百款合法应用中,其中包括流行的中国应用如微信和嘀嘀打车。在这之前,A...

oschina
2015/09/21
5.2K
43
苹果回应 XcodeGhost:暂未发现个人信息受影响

苹果官网今日发文回应 XcodeGhost 事件,就其中几个关键问题作出解答。苹果称,目前没有任何信息表明这些恶意软件与任何恶意事件相关,也没有信息表明这些软件被使用在传播任何个人身份信息的...

oschina
2015/09/23
2.4K
12
安卓APP安全检测工具-应用健康,解决XcodeGhost后遗症

前段时间XcodeGhost事件一石激起千层浪,整个安全界沸腾了,苹果手机用户都慌了。安卓APP也被证实存在着同样的安全威胁。针对广大安卓用户关心的其手机所装APP是否“健康”问题,国内领先的移...

通付盾
2015/10/14
189
2

没有更多内容

加载失败,请刷新页面

加载更多

OpenStack 简介和几种安装方式总结

OpenStack :是一个由NASA和Rackspace合作研发并发起的,以Apache许可证授权的自由软件和开放源代码项目。项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenSta...

小海bug
昨天
5
0
DDD(五)

1、引言 之前学习了解了DDD中实体这一概念,那么接下来需要了解的就是值对象、唯一标识。值对象,值就是数字1、2、3,字符串“1”,“2”,“3”,值时对象的特征,对象是一个事物的具体描述...

MrYuZixian
昨天
6
0
数据库中间件MyCat

什么是MyCat? 查看官网的介绍是这样说的 一个彻底开源的,面向企业应用开发的大数据库集群 支持事务、ACID、可以替代MySQL的加强版数据库 一个可以视为MySQL集群的企业级数据库,用来替代昂贵...

沉浮_
昨天
6
0
解决Mac下VSCode打开zsh乱码

1.乱码问题 iTerm2终端使用Zsh,并且配置Zsh主题,该主题主题需要安装字体来支持箭头效果,在iTerm2中设置这个字体,但是VSCode里这个箭头还是显示乱码。 iTerm2展示如下: VSCode展示如下: 2...

HelloDeveloper
昨天
7
0
常用物流快递单号查询接口种类及对接方法

目前快递查询接口有两种方式可以对接,一是和顺丰、圆通、中通、天天、韵达、德邦这些快递公司一一对接接口,二是和快递鸟这样第三方集成接口一次性对接多家常用快递。第一种耗费时间长,但是...

程序的小猿
昨天
10
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部