Update:
360 工作人员 @宫一鸣cn:3个相关域名共投放了11个静态ip地址以及两个amazon的云主机,11个地址均在美国.看访问量很夸张,这次影响范围应该很大了.此外我们从国外合作伙伴的数据看,国外中招数目也不少,但和国内还是差三个数量级。
Update:
网易云音乐表示,此次感染不会再产生任何威胁。官方回应称:“此次感染涉及信息皆为产品的系统信息,无法调取和泄露用户的个人信息。目前感染源制作者的服务器已经关闭,不会再产生任何威胁。”不管如何,建议大家开启 iCloud 两步验证。
Update:
据推特用户 Heyward Fann 确认,此次中招的 App Store 应用共有四个,除了上文提到的网易云音乐,还有滴滴出行、12306 以及中信银行动卡空间。相关开发者和用户都需引起注意。
现在看来,此次被感染的 App Store 应用远不止我们之前提到的几个,根据独立开发者 @图拉鼎的检测,除了我们之前提到的四款 App,中国联通手机营业厅、高德地图、简书、豌豆荚的开眼、网易公开课、下厨房、51卡保险箱、同花顺均受到了影响。根据乌云网上一个评论指出,该恶意代码除了会收集 App 使用信息外还可能会在 App 里以弹窗的形式骗取用户的 iCloud 或其他密码。对策是,App 里突然出现标准弹窗时,选不!
据乌云漏洞平台报告称,有网友发现第三方渠道下载的 iOS 开发工具 Xcode 被插入恶意代码,编译的软件全成了小型木马,目前已经有两个知名应用受此影响,其中之一为网易云音乐。
据悉,通过在非官方渠道下载的 Xcode 编译出来的 App 被注入了第三方的代码,会向一个网站上传用户数据,数据包括一些 iPhone 和 App 的基本信息,例如时间、bundle id(包名)、应用名称、系统版本等,病毒作者随后会把这些信息上传到 init.icloud-analysis.com,该网站并不是苹果的官方网站,而是病毒作者所申请的仿冒网站,目前该网站的服务器已经关闭。
虽然 XCodeGhost 并没有非常严重的恶意行为,但是这种病毒传播方式在 iOS 上还是首次。被感染的知名 App Store 应用为“网易云音乐”,该应用在 App Store 上的最新版本 2.8.3 已经确认被感染。受感染的“网易云音乐”应用会把手机隐私信息发送到病毒作者的服务器 init.icloud-analysis.com 上面,目前该感染版本依然在 App Store 线上,相关开发者和用户需要引起注意。
根据我站网友阿灰的热心建议,大家可自行验证手机里哪些应用可能感染 XcodeGhost 病毒(推荐懂技术的朋友操作):
去这里(http://www.telerik.com/fiddler)下载Fiddler安装到PC上。
打开fiddler主界面,选择Tools菜单,选择Fiddler options菜单项,打开Conections 面板,勾上 Allow remote computers to connect, 取消 Act as system proxy on startup 的对勾,然后记下 Fiddler listens on port 里的端口号,点击 OK 按钮,并关闭重开 Fiddler。
打开手机,连接到与台式机相同的 Wifi 网络中,点击手机里的设置,Wifi,点击连接的 Wifi右侧的感叹号按钮,滚动下来在 http 代理这里选择手动,服务器填你的PC的内网 IP 地址,端口填第二步记下的 Fiddler listens on port 的端口号,点击home键返回桌面(嗅探完毕后,回到这里,在 http 代理下面选择关闭即可还原)。
挨个打开你手机里的App,观察fiddler的窗口中的条目,如果发现如图红色条目,则该App感染了XcodeGhost病毒。嗅探一个app后,点击fiddler的Edit菜单,选择Remove,选择All Sessions清空所有内容,再然后开第二个App进行判断。
重复上述步骤,找出可能的存在问题的 App。
另外,注入的代码有 iOS 弹窗代码的回调 0000000000001e75 t -[UIWindow(didFinishLaunchingWithOptions) alertView:didDismissWithButtonIndex:] 有很大可能性是盗取 iCloud 密码。否则偷偷注入的密码不会随便弹窗让人发现它的存在。如果属实,上述 App 内使用过内购的用户必须删除 App 并修改 Apple ID 账号密码了!
