XcodeGhost 病毒爆發攻破 iOS 安全壁壘的時候,其實還是有不少 Android 用戶是在看笑話的。但是事實告訴我們,Android 平台的安全性也非常讓人堪憂,過往的例子已經說得夠多了。但是在 XcodeGhost 這件事的後續發酵上,Android 手機也未能逃脫投毒者的魔爪。

在談 Android 的事情前,我們還是來回顧一下 XcodeGhost 在 iOS 上發酵到何種程度:

進展一:疑似原始駭客在社交網路現身,表示這次惡意篡改 Xcode 只是一場實驗,沒有進行惡意活動。但是根據後續發展,還有眾多網路安全從業者分析,這個聲明不可信。

進展二:根據盤古團隊的數據,他們的雲端被感染列表庫中已經有 4389 條記錄,其中某些應用有多個版本被感染,覆蓋 3418 個不同的 app。並且他們推斷,App Store 中被感染的 app 要遠大於這個數字。

進展三:360 涅槃團隊日前還原了惡意 iOS 應用與 C2 服務器的通信協議,從而可以實際測試受感染的 iOS 應用可以有哪些惡意行為,主要包括「做 app 推廣,偽造內購頁面,通過遠程控制在用戶手機上彈提示」三種。

2015

(安全團隊用後門模擬可能的惡意行為)

並且綠盟科技還表示,這些後門的存在還可以發起更為惡劣的行為,比如發起 DDoS 攻擊。

同時,在這份 9 月 20 號的報告中,綠盟科技還提到了 Android 的類似的安全隱患

Android 平台對於 APP 的審核更為糟糕,Google 在中國是完全被封閉的,開發者完全只能從非官方渠道下載,且其 app 市場更為混亂,一旦發生安全事件,影響更為惡劣。

果不其然,今天,阿里移動安全發布報告

雖然 XcodeGhost 作者的服務器關閉了,但是受感染的 app 的行為還在,這些 app 依然孜孜不倦的向服務器(比如 init.icloud-analysis.com,init.icloud-diagnostics.com 等)發送著請求。這時候駭客只要使用 DNS 劫持或者污染技術,聲稱自己的服務器就是「init.icloud-analysis.com」,就可以成功的控制這些受感染的 app。

在 360 涅槃團隊總結的可能的攻擊行為之外,阿里移動安全經過測試發現,XcodeGhost 的存在還可以下載企業證書簽名的 app,定向在客戶端詐騙消息,推送釣魚頁面等等,危害用戶安全。

另外,百度安​​全實驗室還披露另一個令人震驚的消息:

在大家以為一切都完結的時候,百度安全實驗室稱已經確認「Unity-4.X 的感染樣本」。並且邏輯行為和 XcodeGhost 一致,只是上線域名變成了 init.icloud-diagnostics.com。這意味,凡是用過被感染的 Unity 的 app 都有竊取隱私和推送廣告等惡意行為。

Unity 是由 Unity Technologies 開發的一個讓玩家創建諸如三維視角遊戲、實時三維動畫等類型互動內容的多平台的綜合型遊戲開發工具,很多有名的手機遊戲比如 Temple Run、紀念碑谷、爐石傳說都是用 Unity 進行開發的,包括 Android 版。Unity 4.6.4 – Unity 5.1.1 各個版本都有可能被篡改。而且在這個消息被曝出後,之前疑似 XcodeGhost 投毒者,網名為 coderFun 的人半夜開始刪除之前散播的被感染的 Unity 帖子,這極有可能意味著,製作被感染的 Xcode 和 Unity 是同一個人或團隊。

隨著 Unity 感染被確定,是時候給出對於 Android 系統的安全預警了,在這件事情的持續發酵下,並且國內 Android 系統版本演化更複雜,應用商店割據更嚴重,預計 Android 系統手機面臨的安全問題更為瑣碎,更難以解決。

(本文轉載自愛範兒,未經授權不得轉載;圖片來源:dustball)