谁是幕后黑手?——“苹果商店后台盗刷事件”后续

经过技术人员调查发现,一款名为“KeyRaider”的恶意软件是导致iCloud账号被大规模盗取的主因,其成功偷取了超过 225000 个有效的苹果账户和成千上万的证书、私人钥匙和购买收据。

读者陈祺2015年09月07日 16时42分

8月25日,我们推出了一篇关于“苹果商店后台盗刷事件”的独家报道,详细描述了事件的发展脉络:6月30日,苹果发布iOS 8.4正式版。7月初,第一次大规模盗刷事件爆发,大量用户反映在苹果商店的已购项目中出现自己未下载过的App,其中越狱用户居多,也涉及个别未越狱用户。7月17至7月20日,盗刷事件再次爆发。8月25日凌晨,威锋技术组成员“i_82”发现某红包助手利用后台漏洞盗取20万个左右有效的iCloud账户与密码,并继续对此事件进行调查。

近日,事件有了最近进展。技术人员通过调查发现,一款名为“KeyRaider”的恶意软件是导致iCloud账号被大规模盗取的主因。我们将以时间轴顺序,对此次事件的后续发展进行梳理总结。

8月25日16点02分,威锋技术组已将漏洞细节提交乌云漏洞报告平台,并且也提交至第三方合作机构(CNCERT国家互联网应急中心)处理。

1

8月26日13点35分,威锋技术组成员“CDSQ”在其微博上称,泄露的22W账号只扒下12W时后台数据便被清除,扒下的数据中有效数据量为105275条,来源于插件制作者“氵刀八木”的有69485条,来源iwexin的有9223条。

2

8月27日1点35分,威锋技术组紧急开发的iCloud帐号泄露查询工具正式对外公开(查询地址)。

3

8月27日9点06分,苹果官方做出回应,对于威锋技术组提供的12万账号进行了安全措施的处理。

4

8月27日9点09分,“氵刀八木”在其推特上发表回应,称自己也是受害者之一,并公布查询截图。

5

8月27日13点15分,威锋技术组提供查询服务器突然遭受DDOS攻击。两小时后,服务器恢复正常。

6

8月28日4点25分,威锋技术组成员“CDSQ”发表长微博,标题为《关于氵刀八木恶意植入木马的证据说明》,通过证据直指氵刀八木所制作插件存在盗号行为。

7

8月31日23点25分,威锋网发布《真相曝光:22万个iCloud账户被盗的那些事》,文中指出一款名为“KeyRaider”的恶意软件是导致iCloud账号被大规模盗取的主因,其成功偷取了超过225000个有效的苹果账户和成千上万的证书、私人钥匙和购买收据。

一位名为“mischa07”的威锋用户上传了至少 15 个“KeyRaider”的样本到他的个人源中,因为他的用户名被硬编码到恶意软件中作为加密和解密钥匙,技术人员怀疑他就是本次事件的始作俑者。

“mischa07”的个人源
“mischa07”的个人源

另一个对“KeyRaider”有所“贡献”的是另一个威锋用户“氵刀八木”,他的个人源在论坛里也同样非常受欢迎,不过在这次事件发生后,“氵刀八木”删除了所有之前上传的恶意软件,后来他在论坛极力否认此事。

安全人员找到了他曾经上传过的应用和插件,并发现至少有77个安装了“KeyRaider”的恶意程序。他通过将现有的应用或插件重新打包来注入恶意程序,其中包括一些像iFile、iCleanPro等插件。从泄露的数据来看,有超过67%的被盗账户均来自“氵刀八木”。

9月2日16点05分,太极越狱针对盗刷事件做出官方回应,发表名为《iPhone越狱后如何做好安全防范》的长微博,提醒越狱用户及时更改root密码,当不能明确插件的用途和功能时,不建议随意安装插件。

9

9月5日13点54分,苹果官方已全部重置威锋技术组截获的现有的10万泄露账号的密码。

11

0

读者 陈祺

593899649@qq.com

赞美兔兔!

查看更多陈祺的文章
关闭窗口