<big id="n3dbt"><strong id="n3dbt"></strong></big>
      1. <small id="n3dbt"><delect id="n3dbt"></delect></small>

        <thead id="n3dbt"><ruby id="n3dbt"><rp id="n3dbt"></rp></ruby></thead>
        <th id="n3dbt"></th>
        <span id="n3dbt"></span><span id="n3dbt"></span><span id="n3dbt"></span><strike id="n3dbt"></strike>

        建站百科Website News

        當前位置:首頁 »信任危機:蘋果APP也會被黑?

        信任危機:蘋果APP也會被黑?

        至成科技 2015-09-22 訪問量(923) 評論(0)
        摘要:

        在外界印象里,封閉的系統生態和嚴格的審查制度,使得蘋果設備似乎有天然防御危機的屏障。但事實上,蘋果的安全防御機制比想象的更加脆弱。

        2013年,只用了不到30秒,國內白帽子團隊KeenTeam就遠程破解了當時蘋果較新的操作系統iOS7.0.3,獲取了該手機中的照片。2014年紐約舉辦的黑客大會上,安全專家喬納森·扎德爾斯基展示了如何利用存在于iOS后臺的“后門”服務,從iPhone中提取出大量數據。

        安全領域從業人員快速次破解蘋果成為展現技術較好憑證,但對普通用戶來說,較近快速起廣泛關注的是9月18日。當天,漏洞報告平臺烏云網和硅谷安全公司Palo Alto均發布安全預警,蘋果應用商店上架的網易音樂云等應用被注入第三方惡意代碼,用戶信息或早泄露。

        iOS開發者和安全行業人士開始紛紛查找受影響的App。騰訊安全應急響應中心日后披露,其曾發現AppStore中已有76款應用被感染。

        Twitter用戶(愛微創想iOS開發主管)爆料稱,受影響的App已蔓延至火車訂票應用12306和中信銀行卡動卡空間。一時間,網絡流傳出多種安全解讀和提醒,獵豹移動安全專家甚至提醒用戶考慮修改密碼和支付方式。

        事情的轉機出現在19日上午。一個名為“XcodeGhostSource”的賬號在代碼退管網站GitHub發布“關于所謂‘XcodeGhost’的澄清”一文中稱,惡意代碼源自個人實驗,因10天前已關閉服務器,并刪除所有數據,已消除影響。不過,騰訊科技瀏覽發現,該賬號為新注冊賬號,注冊時間為2015年9月19日。

        有業內人士告訴騰訊科技,該作者并不希望被外界知道其身份。也正因為此,這份澄清聲明的真實性引發業界熱議。不過,這一聲明獲得多個安全領域專家轉發。

        然而,危機尚未解除。有業內人士回憶,Unix之父Ken Thompson在獲得圖靈獎發表感言時曾稱,在編譯Unix代碼的C編輯器里留有“后門”。蘋果iOS操作系統是屬于類Unix操作系統。該業內人士提醒,在對此次事件分析時發現,借助這一漏洞,黑客在獲得遠程控制權限后,可以向“中標”手機下發任意指令。

        騰訊安全應急響應中心稱,9月16日已向蘋果官方同步應用被感染情況。

        9月19日,蘋果向被感染手機程序開發者發出下架通知,建議手機程序編寫者下載正版開發工具,重新編譯相關程序后上傳至AppStore。

        以越獄出名的盤古團隊也在當日發布了一款XcodeGhost檢測工具。該團隊稱,已檢測到超過800個不同版本的應用受到感染。不過,該消息未能得到蘋果或第三方證實。

        與以往惡意程序自身攜帶病毒不同,這次安全事件中,黑客先進次把惡意代碼嵌入蘋果應用開發的源頭,欺騙對象轉向開發者。對普通用戶而言一旦使用了感染的App,其數據將上傳至黑客指定網址,而一旦有App要求用戶輸入賬戶密碼等隱私數據,隱藏在背后的灰色產業暴利相當驚人。

        烏云平臺已陸續曝出多起蘋果系統級高危漏洞,在此次后門漏洞曝光過后,人們的確應當意識到,蘋果并非永遠安全的手機。

        黑客利用設備信息可用于遠程控制

        代碼分析結果顯示,上報的信息包括App版本、App名稱、本地語言、iOS版本、設備類型和國家碼等信息。這些信息雖然不涉及到個人用戶的隱私,但是可以有效地對不同的iOS設備進行區分。未經證實的前述聲明也表示,其代碼可以獲取的只有App的基本信息。

        這意味著,通過上報信息區分每一臺iOS設備后,黑客可以通過iOS openURL這個API隨時隨地給任何人下偽協議指令。

        “這時候黑客已經可以控制你的手機,達到他想要做的任何事情。”有安全專家向騰訊科技解釋,“瀏覽網頁、打電話發短只是較常見的功能,甚至可以對具備該偽協議的第三方App進行操作。”

        不僅如此,黑客還可以控制彈出任何對話框,對用戶進行誘導進行更進一步的安全危害。騰訊安全應急響應中心甚至發現,利用該惡意代碼的漏洞甚至可以被中間人攻擊。后者是一種黑客常用的古老攻擊手段。

        此外,騰訊安全應急響應中心還發現,除了已使用的上報域名地址“icloud-analysis.com”,此次還發現了其他三個尚未使用的域名。如果不是及時遏制,其影響范圍可能進一步擴大。

        開發者下載官方版本難引出黑產尋利

        XcodeGhost被大規模發現之前。國家互聯網應急中心曾在9月14日發布過預警通報。該通報稱,檢測中發現開發者使用了非蘋果官方渠道的Xcode開發工具,而該工具中被植入惡意代碼。

        事實上,作為蘋果官方開發工具,Xcode可以免費從應用商店下載。那么為什么有開發者選擇了非官方渠道?

        受訪的多數蘋果開發者告訴騰訊科技,原因只有一個,就是官方渠道下載速度非常慢。猿題庫iOS開發工程師唐巧在社交網絡上稱,“每次下Xcode花個幾十分鐘非常正常,這才造成大家都用迅雷和百度網盤這種非官方渠道”。

        互聯網的云存儲服務只是提供了一個更為方便的下載渠道。有消息稱,此次安全危機的始作俑者的網名為“coderfun”,攜帶惡意代碼的Xcode壓縮文件上傳至百度網盤后,將下載鏈接先后發布到多個開發者聚集的社區、下載站等。騰訊安全應急響應中心稱,“coderfun”還是用了“Imznet”、“jrl568”等ID傳播下載鏈接。

        據悉,惡意代碼被隱藏在了一個名為“CoreService.framework”的“系統組件”內,而官方下載的安裝包并不存在這個目錄和“系統組件”。

        獵豹移動安全專家李鐵軍(微博)告訴騰訊科技,“黑產”希望通過收集用戶信息,以便廣告投放,后者存在利益空間。由于蘋果限制比較多、審查比較嚴格,常用模式無法運行,因此只能從開發環節突破。盡管是有限的個人信息,但仍然有商業價值。

        所謂“黑產”,就是指靠收集個人信息,出售個人信息牟利的一群人。

        漏洞會引發蘋果信任危機嗎?

            事件發生后,幾家涉事公司紛紛提出了自己的。騰訊選擇了更新版本,并且在發現bug的第二天,即9月13日已完成替換。9月18日下午15時,網易云音樂通過社交網絡發布公告解釋了發生危機的原因。

        盡管蘋果較終在19日下架受感染應用,但李鐵軍表示,先進的方法是等待開發者重新發布安裝包替換。用戶可以選擇卸載,或者等待升級更新。

        但蘋果在漏洞發生后一段時間的失語,讓外界有了更多的猜測。隨著自媒體的發酵以及更多的人加入討論,該漏洞被更為深入地解讀。雖然并未沒有直接的證據指出,該漏洞會竊取與財產相關的個人賬號信息,但由于此次“中招”App包括火車訂票軟件和銀行軟件,所以也有分析稱,用戶的財產安全或受到威脅。

        一旦有App要求用戶輸入賬號密碼,這背后隱藏的灰色暴利將會相當驚人。中國漏洞庫專家委員會蔡晶晶接受中央電視臺采訪表示,正常用戶訪問的快速點擊廣告的價值是1至2元人民幣,一個億用戶量每個用戶推送一個廣告,我們知道背后的價值有多達,這就是傳統意義上的黑色產業鏈。

        截至至成科技發稿時,中國市場并沒有更進一步爆發新的安全事件,也沒有相關信息和財產損失的報告 。多位受訪安全人士判斷,此次危機主要是對開發者發出了警告,敦促其避免使用來歷不明的開發工具,相反對用戶而言,影響并不大。

        不過,也有分析人士指出,蘋果消極對待,也沒有對開發者和用戶及時發出提醒,或使其聲譽受損,甚至會造成更大的信任危機。

        網友評論

        登錄后可評論,請登錄

        全部評論:0條

        掃描左側二維碼
        關注至成微信公眾號

        西安至成信息科技有限公司  Copyright 2012-2019  xazcit.com  All rights reserved.

        Email:[email protected]     郵政編碼:710016     《中華人民共和國增值電信業務經營許可證》陜B1.B2-20140011     陜ICP備12008874號-1

        聯系地址:西安市經開區鳳城四路西安國際企業中心B座23層06-10室    售前咨詢熱線:029-89390727    售后服務電話:029-89393039

        西安網站建設、網站設計制作公司-至成科技,已為眾多企業提供網站建設網站制作響應式網站設計手機網站建設虛擬主機云主機服務器租用等建站解決方案。

        網絡警察 12321垃圾信息舉報 不良信息舉報 中國文明網 西安工商
        ×
        安徽25选5计划 竞彩篮球胜分差基本规则 华东15选5开奖最近30期 秒速时时彩开奖记录 福彩15选5开奖号 天津快乐十分在线 360德州扑克作弊器 3d组三遗漏 幸运赛车qq群名哪个好听 浙江福彩快乐12开奖走势图百度 双色球综合分布图 青海11选5号码推荐 brt快快3 香港六彩马经特码资料 上海天天彩选4开奖结果查询 360彩票中心首页