導(dǎo)語:可怕的國內(nèi)黑客,聰明且瘋狂��!不僅開發(fā)出高技術(shù)含量XCode修改版���,更能利用SEO(搜索引擎優(yōu)化)來在網(wǎng)絡(luò)推廣修改版,讓無數(shù)開發(fā)者中招�。
這次事件的影響之大、之深遠(yuǎn)�,相信幾乎涉及所有國內(nèi)外做iOS開發(fā)的圈子,甚至影響到其他平臺的開發(fā)者們��。微信等一線APP都中招���,其實(shí)這已經(jīng)不僅僅是某個開發(fā)者所謂的做了個實(shí)驗(yàn)的問題�����,不是什么電商賬號和隱私安全的問題�,大點(diǎn)說涉及國家安全也不為過����。
好特在騰訊安全應(yīng)急響應(yīng)中心網(wǎng)站看到了關(guān)于對此次事件全方位還原的文章,了解到此事并非如此簡單�,現(xiàn)分享給大家。
原文如下:
【前言】
這幾天安全圈幾乎被XCodeGhost事件刷屏����,大家都非常關(guān)注����,各安全團(tuán)隊都很給力�����,紛紛從不同角度分析了病毒行為���、傳播方式�����、影響面積甚至還人肉到了作者信息����。拜讀了所有網(wǎng)上公開或者半公開的分析報告后��,我們認(rèn)為����,這還不是全部,所以我們來補(bǔ)充下完整的XCodeGhost事件���。
由于行文倉促����,難免有諸多錯漏之處��,還望同行批評指正�。
【事件溯源】
事情要追溯到一周前。
9月12日�,我們在跟進(jìn)一個bug時發(fā)現(xiàn)有APP在啟動、退出時會通過網(wǎng)絡(luò)向某個域名發(fā)送異常的加密流量�,行為非常可疑�����,于是終端安全團(tuán)隊立即跟進(jìn)�,經(jīng)過一個周末加班加點(diǎn)的分析和追查,我們基本還原了感染方式�、病毒行為、影響面��。
9月13日�,產(chǎn)品團(tuán)隊發(fā)布了新版本。同時考慮到事件影響面比較廣���,我們立即知會了CNCERT�,CNCERT也馬上采取了相關(guān)措施。所以從這個時間點(diǎn)開始�,后續(xù)的大部分安全風(fēng)險都得到了控制——可以看看這個時間點(diǎn)前后非法域名在全國的解析情況。
9月14日���,CNCERT發(fā)布了這個事件的預(yù)警公告�����。我們也更新了移動APP安全檢測系統(tǒng)“金剛”����。
圖1 CNCERT發(fā)布的預(yù)警公告
9月16日�,我們發(fā)現(xiàn)AppStore上的TOP5000應(yīng)用有76款被感染,于是我們向蘋果官方及大部分受影響的廠商同步了這一情況����。
小編推薦閱讀
