青岛警方破获Xcode病毒案,技术手段似美情部门

快讯,导致苹果官方商店 APP 感染恶意代码,上亿用户中招的 XcodeGhost 制造者身份曝光,其中一人已被青岛网警控制,目前此案还在进一步调查中。根据消息显示,XcodeGhost 作者身份并非一人,而是多人,其中一名主要嫌疑人姓余,毕业于山东科技大学,现在创办了一家科技公司,目前已被青岛网警控制,其他作者身份暂未透露。

Xcode

苹果已经下架并公示了感染 XcodeGhost 的应用,并确认不会导致用户账号等私隐信息泄漏,此前国内盘古团队的安全工具显示,有四千多个应用被感染,包括微信、网易云音乐、12306 等热门应用。

在 XcodeGhost 爆发之后,自称作者的@XcodeGhost-Author 微博用户发出道歉信,称 XcodeGhost 只是一个实验,没有任何威胁性行为。在道歉信中表示,XcodeGhost 源于自己发现的漏洞,注入的代码只是收集一些公开信息,并未涉及隐私信息的获取,内嵌广告代码,但从未启用。

真相

苹果已经下架并公示了感染 XcodeGhost 的应用,并确认不会导致用户账号等私隐信息泄漏,此前国内盘古团队的安全工具显示,有四千多个应用被感染,包括微信、网易云音乐、12306 等热门应用。

目前尚未发现因 XcodeGhost 导致的个人私隐泄漏或安全风险,但此事为国内 iOS 安全敲响了警钟,苹果甚至为了方便国内中国区开发者下载 Xcode 而将部分服务器移到中国。

综合多方面的消息来看,称 XcodeGhost 为病毒有些名不符实,但 XcodeGhost 凭借极强的隐蔽性传播面之广令人震惊,不管作者是处于什么目的,这样的行为都是开发者以及用户所不能接受的。

背景材料:苹果XcodeGhost事件

Xcode为苹果公司提供的程序编写软件,用于开发苹果应用程序(苹果APP)。近日爆出开发者在通过一些非苹果公司官方渠道下载的Xcode 工具开发苹果APP时,会向正常的苹果APP中植入恶意代码,被植入恶意代码的苹果APP可以在App Store正常下载并安装使用,导致用户隐私泄露,微信、滴滴打车、百度音乐、58同城网易云音乐等350余款APP被感染,这被称为XcodeGhost事件。这一事件也打破了原本被认为安全性很高的苹果iOS系统的金身。

———————————————————————————

Xcode事件延伸:

新浪微博 @XcodeGhost-Author 发了一份道歉信[1],宣称对XcodeGhost事件负责。美国中情局CIA笑了:Sorry,这技术我们在3年前就掌握了。然后哼了一曲:原来我一直都不孤单。

网络媒体The Intercept在2015年3月10日发表了文章“The CIA Campaign to Steal Apple’s Secrets”[2],按照该网站的惯例,是对斯诺登泄密文件的解读。报道中提到只允许美国人参加的一个年度闭门会议:TCB Jamboree,参加者来自CIA以及其合作伙伴,NSA也参加过,主要讨论TCB/TPM可信计算等漏洞研究和利用。第一届Jamboree在 2006年举办,在苹果发布第一代iPhone的前一年。

2012年2月的Jamboree上,国防承包商Lockheed Martin下属一个美国政府投资的Sandia实验室,有一个研究人员讲了个议题:“Strawhorse: Attacking the MacOS and iOS Software Development Kit”[3],表示受到了1984年图灵奖(计算机界的诺贝尔奖)获奖者Ken Thompson一篇论文“Reflections on Trusting Trust”[4]的启发,关于在UNIX gcc编译器中动手脚,导致每个被编译的login程序都存在一个超级口令可以获得后门访问。

为了服务于美国情报部门,Spies gonna spy – 间谍总是要干间谍的活,修改苹果开发者工具包Xcode中的代码,让被修改过的Xcode编译出来的二进制程序都自动带上他们的后门,能够远程执行程序、 加载自定义库、外传信息、禁用ASLR安全保护等。演讲者还描述了如何修改MacOS X Updater来加载键盘记录功能的内核扩展。

据数字公司人肉结果,XcodeGhost作者是1988年出生的某工业大学保研生。如果真是个人行为,他今年初能搞出CIA在3年前的技术,那是相当的厉害了。有好多2008年的NSA Playset我国还没掌握呢。他也不可能参加Jamboree会议。Lockheed Martin今年美国RSA会议期间有一个带talk的午餐会,我想去蹭饭提前注册竟然被一封邮件友好的拒绝了。

个人感觉苹果公司和政府的斗争还是不遗余力的?为了实现Tim Cook声明的“不与任何政府合作提供后门访问”,不停的升级加密机制。对于每一台iPhone手机,有一个密钥用来保护安装的软件。另有一个密钥用来保 护用户数据,每一个设备都不一样,苹果公司说自己都不知道。这样一来,即使有政府或法庭文件,对苹果设备进行取证,也取不到明文信息。但是9月23日习奥会的中美商界代表座谈,苹果老板却跟着奥巴马过去了。

英美政府很不喜欢加密技术,认为这阻碍了对恐怖分子和犯罪分子的调查,让他们一抹黑,进入了黑暗时代,所以大力投入黑预算,雇人来挖漏洞,突破各种安全限制。

想起来是老百姓最可怜,花血汗钱买了苹果手机,给政府交的个人所得税又被拨去研究如果破坏手机的安全机制,手机里的隐私在相关部门手里清晰可查 — 斯诺登证明了大规模监控的隐私信息在内部可被低级别分析师随意查询。

下面该怎么做?搞安全的兄弟们,该着手研究如何修改MacOS X Updater加载自定义模块啦。不会挖漏洞的,安静的做个好用户,不要用手机拍艳照,手机里其他东西也没啥可担心的。

参考文章:

[1]
http://weibo.com/p/1005055704632164

[2]
https://theintercept.com/2015/03/10/ispy-cia-campaign-steal-apples-secrets/

[3]
https://theintercept.com/document/2015/03/10/strawhorse-attacking-macos-ios-software-development-kit/

[4]
http://www.win.tue.nl/~aeb/linux/hh/thompson/trust.html

[5]

http://t.qianzhan.com/int/detail/150925-c6787ac8.html

正文转自头条前瞻,延伸内容转自【sec-un