百度安全实验室发现从Unity 4.6.4一直到Unity 5.1.1的开发工具也都受到了病毒污染,并且行为与XcodeGhost一致。
本月初因为越狱渠道的漏洞,导致黑客从国内盗取了至少22万个苹果用户的登录名和密码。上周又因为XcodeGhost事件,微信、滴滴出行、网易云音乐等最常用的软件也出现安全隐患,以至于苹果官方都出面发布相关声明,称已从其官方App Store撤下被恶意篡改代码的应用。然而危机就此解除了吗?Android又会不会有危险?
尽管XcodeGhost的作者声称已经关闭了自己的服务器,但并非网易云音乐官微说的那样“不再有任何威胁”。乌云知识库的一篇文章指出,这些受到病毒感染的App依旧不断地向服务器(比如init.icloud-analysis.com、init.icloud-diagnostics.com等)发送着请求。这时黑客只要使用DNS劫持或者污染技术,声称自己的服务器就是”init.icloud-analysis.com”,就可以成功地控制这些受感染的App。
受感染的App代码中,有一串用于接收和处理远程服务器指令的代码,它能支持4种远程的命令,分别能够控制sleep的时长、窗口消息、url scheme、App Store窗口。利用这4种命令排列组合,乌云团队用视频复现了如下4种可以造成危害的攻击方式:
尽管网易云音乐等App已经于近日修复了漏洞,但危机尚未解除。据《京华时报》的报道,XcodeGhost的作者不止一个人,且依然逍遥法外。另外,一些证据指出XcodeGhost作者又去迫害Unity引擎了,从Unity 4.6.4一直到Unity 5.1.1的开发工具也都可能受到了污染,并且该病毒的行为与XcodeGhost一致。
百度安全实验室称已经确认拿到“Unity-4.X的感染样本”,分析结果表明,新病毒的逻辑行为和XcodeGhost基本一致,只是上线域名变成了init.icloud-diagnostics.com。这意味着凡是用过被感染的Unity的App,都有可能存在窃取用户隐私和推送广告等恶意行为。由于Unity已经成为当前最重要的3D手游开发环境,游戏开发者更要额外注意软件的安全。
在一个名为“Unity圣典”的网站,那位声称是XcodeGhost代码作者的codeFun也出现了,他在论坛上分享了含有病毒污染的Unity引擎,涉及版本从Unity 4.6.4一直到Unity 5.1.1,还有许多论坛网友在底下向楼主致谢。这一行为被网友指出后,codeFun又主动删除了论坛中发布的内容。
即便XcodeGhost代码的作者只是一时无心的恶作剧,他也承诺不会利用病毒进行任何恶意行为,但难保其他第三方不会利用病毒作恶。
$ file libiPhone-lib-il2cpp.a-armv7-master.o libiPhone-lib-il2cpp.a-armv7-master.o: Mach-O object arm
UnityGhost的基本信息
乌云团队已经从百度安全实验室拿到UnityGhost的样本,分析结果表明它同样也会收集用户手机的各种信息(时间,bundle id,应用名称,系统版本,语言,国家等),并上传到一个新的服务器“http://init.icloud-diagnostics.com”。
UnityGhost的恶意行为和XcodeGhost也如出一辙:下载安装企业证书的App;弹App Store的应用进行应用推广;弹钓鱼页面进一步窃取用户信息;如果用户手机中存在某url scheme漏洞,还可以进行url scheme攻击等。
我们也许看不到躲在暗处的病毒攻击,但可以谨慎防范。特别是遇到上述恶意攻击的读者,请先删除涉嫌感染病毒的应用,及时修改重要软件、游戏的账号密码。游戏开发者要注意自己的软件开发环境,从正规的渠道下载相应的开发工具。
