TGFC Lifestyle - Powered by Discuz! Board

标题: xcode事件可能不只是传传内购，软件信息这么简单,腾讯出了片分析文。 [打印本页]

作者: 今夜打老虎 时间: 2015-9-19 17:25 标题: xcode事件可能不只是传传内购，软件信息这么简单,腾讯出了片分析文。

你以为这就是全部了？我们来告诉你完整的XCodeGhost事件
http://security.tencent.com/index.php/blog/msg/96

不管怎么样，这个应该不是个人实验性质的操作，毕竟这么大的流量挂在亚马逊上，每个月带宽费都相当昂贵，很有可能是专门组织搞得。

[ 本帖最后由今夜打老虎于 2015-9-19 17:26 编辑 ]

作者: cfqxd 时间: 2015-9-19 17:36

说的很好，然而为什么腾讯的微信6.2.5也他妈的中招了？作为前通信业员工，我感觉这些互联网公司虽然效率高，然而内控毫无网络安全思想。百度云、迅雷这些东西在公司内网上应该是绝对禁止使用的，开发工具管理也太随意了。别拿什么国内太慢当借口，GFW随时可以找政府申请加白名单申请专线，上外网毫无压力，我不信堂堂腾讯网易差这几个破钱。还有黑苹果，如果传闻是真的，国内的互联网公司真是无底线

作者: zenhigh 时间: 2015-9-19 17:52

这种云离线下载方式风险很大的，比如NV和AMD的驱动要是也被植入恶意模块然后放到云服务器里让人下，能产生多少肉鸡啊，什么杀毒、管家之类的都没用。

作者: ggyy 时间: 2015-9-19 17:59

posted by wap, platform: iPad
说了一大通就是没说ID 密码有没可能泄露

作者: 小文 时间: 2015-9-19 18:06

posted by wap, platform: iPhone
相信了解iOS开发的同学都知道openURL这个API的强大，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方APP。

太危言耸听了吧，打开网页我信，发短信和打电话根本做不到好吗……

作者: popeyeme 时间: 2015-9-19 18:14

posted by wap, platform: iPhone

引用:

原帖由 @小文于 2015-9-19 18:06 发表
相信了解iOS开发的同学都知道openURL这个API的强大，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方APP。

太危言耸听了吧，打开网页我信，发短信和打电话根本做不到好吗……

openurl这么上层的api 所有调用都有界面跳转,提示这拦截来做病毒....也太小儿科了

作者: 小文 时间: 2015-9-19 18:53

posted by wap, platform: Chrome
这个文章是写来kuso的吧？专门用来蒙小白的吧？

“上报的信息包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息，能精准的区分每一台iOS设备。”
确实上传了这些信息，而且也可以用来区分iOS设备，但这些信息都无法用来具体定位到某一个用户，即便是ID，既不是你的手机号，也不是你的IMEI号，也不是设备的机器码，是iOS系统虚拟出来的一个ID号，为的就是让开发者能确定某台设备但又无法联系到用户的真实信息。

“黑客能够通过上报的信息区分每一台iOS设备，然后如同已经上线的肉鸡一般，随时、随地、给任何人下发伪协议指令，通过iOS openURL这个API来执行。“
听上去很厉害，还伪协议，openURL，但是不是就成为所谓肉鸡了？

”相信了解iOS开发的同学都知道openURL这个API的强大，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方APP。”
这个API确实挺强大的，能用它在设备里打开一个网页，发短信，打电话。不过呢，发短信是调用系统的接口，系统会跳转到标准的短信界面，你不按发短信按钮，就不会发任何短信；打电话是弹出一个对话框，你要打电话给xxxxxxxx吗？你不按打电话，就不会打任何电话，这样的东西算病毒吗？可以操作具备伪协议能力的大量第三方APP，是可以的，就是大家熟悉的URLschema，也就是按一个按钮，将可以跳转到另一个app，并传递一些信息，跳转过去以后就和原app没有半毛钱关系了，原app也没有控制新app的能力，所谓”操作“就是这样了，和真正的病毒的暗地操作简直相差十万八千里。只能说，这作者真会用词。

作者: 小文 时间: 2015-9-19 18:58

posted by wap, platform: Chrome
”和远程执行指令类似，黑客也可以远程控制弹出任何对话框窗口。至于用途，将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来，反正我们是能够通过这几个功能，用一点点社工和诱导的方式，在受感染的iPhone中安装企业证书APP。“
安装企业证书app确实可以做到，其实不感染也可以，本来这就是一个正常的行为。不过呢，要安装就必须弹出一个窗口，说我要安装了！让用户选择装不装。被感染的app里有多出这样的行为吗？我不敢说没有，但至少我没看到这样的新闻报道说有。

“在进行样本分析的同时，我们还发现这个恶意模块的网络协议加密存问题，可以被轻易暴力破解。我们尝试了中间人攻击，验证确实可以代替服务器下发伪协议指令到手机，成为这些肉鸡的新主人。”
可能是有问题吧，但中间人也不能做更多，也还是前面说的那些操作。肉鸡这个词用得好啊，只不过这些肉鸡有完全的自主能力，你要做任何操作都要弹个窗来请肉鸡同意。

作者: xanver 时间: 2015-9-19 18:59

posted by wap, platform: SONY Xperia Z2
这个想实现木马功能太难一切都需要用户确认又不是静默功能

作者: 忍者大师 时间: 2015-9-19 18:59

posted by wap, platform: 小米 NOTE
都是gfw的错

作者: wangmax 时间: 2015-9-19 19:01

引用:

原帖由小文于 2015-9-19 18:06 发表
posted by wap, platform: iPhone
相信了解iOS开发的同学都知道openURL这个API的强大，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大 ...

电话可以自动拨出，也可以是远程控制拨出。短信可以是应用内push出页面，预设号码和内容，但发送必须是用户触发。
iOS的框架约束，确实是偏松了，将来估计会收紧的。

作者: 小文 时间: 2015-9-19 19:04

posted by wap, platform: Chrome

引用:

原帖由 @wangmax 于 2015-9-19 19:01 发表
电话可以自动拨出，也可以是远程控制拨出。短信可以是应用内push出页面，预设号码和内容，但发送必须是用户触发。
iOS的框架约束，确实是偏松了，将来估计会收紧的。

这个倒是忘了，直接拨出电话是可以，然而也是跳转到系统的电话界面，一个无法更蠢的好显眼的病毒。而且没有用户反映app被感染以后出现自动拨电话的现象。

作者: wangmax 时间: 2015-9-19 19:06

引用:

原帖由小文于 2015-9-19 18:53 发表
posted by wap, platform: Chrome
这个文章是写来kuso的吧？专门用来蒙小白的吧？

“上报的信息包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息，能精准的区分每一台iOS设备。”
确实上 ...

不是的，电话是完全自动拨出，也可以是远程控制拨出。
短信不用openURL，不是拉起系统短信，而是应用内push，但发送确实是必须用户触发。

作者: wangmax 时间: 2015-9-19 19:09

引用:

原帖由小文于 2015-9-19 19:04 发表
posted by wap, platform: Chrome

这个倒是忘了，直接拨出电话是可以，然而也是跳转到系统的电话界面，一个无法更蠢的好显眼的病毒。而且没有用户反映app被感染以后出现自动拨电话的现象。

iOS也确实还有待完善，手机会自动拨出或是被动拨出，哪有这种业务需求。

作者: 小文 时间: 2015-9-19 19:11

posted by wap, platform: Chrome

引用:

原帖由 @wangmax 于 2015-9-19 19:06 发表
不是的，电话是完全自动拨出，也可以是远程控制拨出。
短信不用openURL，不是拉起系统短信，而是应用内push，但发送确实是必须用户触发。

远程控制拨出不知道，是怎么实现？

短信只能做到app填入信息，弹出一窗口请用户发送，像安卓病毒那种后台拦截短信自动静默发短信是做不到的。

作者: 小文 时间: 2015-9-19 19:14

posted by wap, platform: Chrome

引用:

原帖由 @wangmax 于 2015-9-19 19:09 发表
iOS也确实还有待完善，手机会自动拨出或是被动拨出，哪有这种业务需求。

需求还是存在的，在网页上看到一个电话，如果可以按一下链接直接拨打，当然比弹出一个窗口点了确定再拨打来得方便些。

作者: sowo 时间: 2015-9-19 19:15

posted by wap, platform: iPhone
这次可以看出国内的这些互联网公司的内部管理有多烂

作者: wangmax 时间: 2015-9-19 19:16

引用:

原帖由小文于 2015-9-19 19:11 发表
posted by wap, platform: Chrome
远程控制拨出不知道，是怎么实现？

短信只能做到app填入信息，弹出一窗口请用户发送，像安卓病毒那种后台拦截短信自动静默发短信是做不到的。

只要是在应用内添加轮询或是socket，就可以远程控制了。
短信的诱骗性不强，因为界面也无法定制。

作者: wangmax 时间: 2015-9-19 19:18

引用:

原帖由小文于 2015-9-19 19:14 发表
posted by wap, platform: Chrome
需求还是存在的，在网页上看到一个电话，如果可以按一下链接直接拨打，当然比弹出一个窗口点了确定再拨打来得方便些。

你这个还是属于用户触发，是主动拨出。
自动和被动，是指用户完全不是自己的主观意志控制。

作者: kives 时间: 2015-9-19 19:21

这文章肯定不是搞ios写的，openURL也就是一个跳转api，跳过去后结束了，非越狱下app能坐的事很少。至于上传的信息也不是很敏感。这件事反应了一个问题，搞ios绝大多数都缺乏安全方面的相关知识。

作者: wangmax 时间: 2015-9-19 19:24

引用:

原帖由 sowo 于 2015-9-19 19:15 发表
posted by wap, platform: iPhone
这次可以看出国内的这些互联网公司的内部管理有多烂

烂到家了，只要网络里抓下包，这些恶意业务就全曝光了，不知道是怎么测试的。
但最烂的还是苹果，都这个程度了，居然也能审核通过。

作者: 小文 时间: 2015-9-19 19:26

posted by wap, platform: Chrome

引用:

原帖由 @wangmax 于 2015-9-19 19:18 发表
你这个还是属于用户触发，是主动拨出。
自动和被动，是指用户完全不是自己的主观意志控制。

总之，调用系统界面去打电话，我不觉得这算什么病毒行为。正常的app也没理由这么做，要偷鸡摸狗也都得暗地里来，这么整，又没任何好处，不是找删吗

作者: 小文 时间: 2015-9-19 19:29

posted by wap, platform: Chrome

引用:

原帖由 @wangmax 于 2015-9-19 19:24 发表
烂到家了，只要网络里抓下包，这些恶意业务就全曝光了，不知道是怎么测试的。
但最烂的还是苹果，都这个程度了，居然也能审核通过。

app上传数据到某一个网站，苹果怎么管？苹果不可能不允许app上传数据到自己的服务器吧，上传一部分到A服务器，另一部分到B服务器，也是正常的需求。

作者: Pires 时间: 2015-9-19 19:30

posted by wap, platform: GOOGLE Nexus 4
很有可能这毒就是腾讯这人渣下的

作者: kintama 时间: 2015-9-19 19:42

引用:

原帖由 sowo 于 2015-9-19 19:15 发表
posted by wap, platform: iPhone
这次可以看出国内的这些互联网公司的内部管理有多烂

苹果也管理够烂的，审核搞的这么严结果号称多安全多干净，结果这么大面积的恶意代码就这样审核通过了

作者: wangmax 时间: 2015-9-19 19:52

引用:

原帖由小文于 2015-9-19 19:29 发表
posted by wap, platform: Chrome
app上传数据到某一个网站，苹果怎么管？苹果不可能不允许app上传数据到自己的服务器吧，上传一部分到A服务器，另一部分到B服务器，也是正常的需求。

“17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。”

这次的恶意代码，收集用户数据，上传服务器，如果数据涉及隐私，就必须要在功能内明示，不能自动或是诱骗方式上传数据。

作者: 小文 时间: 2015-9-19 19:56

posted by wap, platform: Chrome

引用:

原帖由 @wangmax 于 2015-9-19 19:52 发表
“17.4 收集、传输以及分享未成年用户个人信息(比如名字、地址、邮件、位置、照片、视频、绘画、聊天信息以及其他个人数据，或者与以上所述相关的永久性标示符)的应用程序必须遵守应用儿童隐私法规，并且必须包含隐私条款。
17.5 包含账号注册或者访问用户现有账号的应用程序必须包含隐私策略，否则将会被拒绝。”

这次的恶意代码，收集用户数据，上传服务器，如果数据涉及隐私，就必须要在功能内明示，不能自动或是诱骗方式上传数据。

顶楼文里写了，收集的数据包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息

这些信息，正常的app不需要任何用户授权就可以获取，因为不涉及用户的真实信息。

作者: shacg 时间: 2015-9-19 19:58

posted by wap, platform: 小米 NOTE

引用:

原帖由 @kintama 于 2015-9-19 19:42 发表
苹果也管理够烂的，审核搞的这么严结果号称多安全多干净，结果这么大面积的恶意代码就这样审核通过了

如何定义这些代码是恶意的？

对苹果来说，这些代码依然是在苹果规范之内，上传的数据不可能突破苹果的沙盒限制，要真的突破沙盒限制，那简直就相当于把这台机器给越狱了，事实上这次的代码根本没这个能力

但这些代码的确是被植入的，对于那些被植入的app而言，的确就是恶意代码，因为这些代码把用户数据传给了代码编写者，这是不折不扣的偷窃行为。

所以对苹果来说，它没法辨别这些上传的数据给a服务器还是给b服务器，哪些是正常的（因为苹果是允许app发布者搜集相关信息的），哪些是不正常，对它来说都是符合规范的行为，哪怕是调用了url scheme打电话发短信，都是app被允许的行为，所以审核通过也是正常的

作者: wangmax 时间: 2015-9-19 20:45

引用:

原帖由小文于 2015-9-19 19:56 发表
posted by wap, platform: Chrome
顶楼文里写了，收集的数据包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息

这些信息，正常的app不需要任何用户授权就可以获取，因为不涉及用户的真实信 ...

问题不在系统敏感数据的获取，因为受到框架约束，系统敏感数据都需要注册授权，这个还是安全可控的。
但是敏感数据获取后的再利用，就不受限制了。
还有就是，后台登录、Oauth之类的一些用户数据，收集这方面数据，不受框架安全机制的制约。
而上传数据，应该是应用场景中的业务类型必须和上传数据类型相符，不能是用户点张照片，就触发上传用户账号信息、app信息之类的不相干信息。

这个作者说自己没有收集上传敏感数据，但并不是指他的恶意代码没有这个能力，其实只是他愿不愿意做的问题了。
iOS框架要负责隔离风险代码和程序漏洞，而app store的审核是要负责限制开发者的恶意业务逻辑。

作者: 小文 时间: 2015-9-19 20:55

posted by wap, platform: Chrome

引用:

原帖由 @wangmax 于 2015-9-19 20:45 发表
问题不在系统敏感数据的获取，因为受到框架约束，系统敏感数据都需要注册授权，这个还是安全可控的。
但是敏感数据获取后的再利用，就不受限制了。
还有就是，后台登录、Oauth之类的一些用户数据，收集这方面数据，不受框架安全机制的制约。
而上传数据，应该是应用场景中的业务类型必须和上传数据类型相符，不能是用户点张照片，就触发上传用户账号信息、app信息之类的不相干信息。

这个作者说自己没有收集上传敏感数据，但并不是指他的恶意代码没有这个能力，其实只是他愿不愿意做的问题了。
iOS框架要负责隔离风险代码和程序漏洞，而app store的审核是要负责限制开发者的恶意业务逻辑。

如果说，一个app已经获取了某个用户授权，比如通讯录，那么这次的恶意代码是有可能获取这部分数据的。这是风险之一。

但对于AppStore审核来说，他不认为你的app里把已经获得授权的数据再上传到另一个服务器有什么问题，你公司服务器多不行么。

作者: LTFYH 时间: 2015-9-19 21:00

这个苹果不可能查得出来，都是用正常的API收集和传递数据，而且也说不上是啥隐私数据，苹果怎么可能管得了，而且装了这个就成了肉鸡这事应该也不可能。

作者: wangmax 时间: 2015-9-19 21:05

引用:

原帖由小文于 2015-9-19 20:55 发表
posted by wap, platform: Chrome
如果说，一个app已经获取了某个用户授权，比如通讯录，那么这次的恶意代码是有可能获取这部分数据的。这是风险之一。

但对于AppStore审核来说，他不认为你的app里把已经获得授权 ...

审核政策里写了，传输、分享隐私数据，必须要包含隐私条款，我的理解就是要有声明提示，必须用户确认触发，才能上传。
而现在这个恶意业务，是自动或是诱骗方式，让用户触发，明显就是业务场景和上传数据类型没有一点关系。

作者: 小文 时间: 2015-9-19 21:20

posted by wap, platform: Chrome
回头看看，我觉得这其实是一篇洗地文，避重就轻，真正的风险根本不是他说的那些。

作者: oversleep 时间: 2015-9-19 21:59

posted by wap, platform: iPhone
我觉得和迅雷无关，纯属躺枪。文件应该是经过校验确认一致性的，怎么可能你从官方下载却给你下个带毒文件下来，想到这个点的人应该是瞎猜的。

作者: chunhan 时间: 2015-9-19 22:22

这是篇洗地文，微信也中招了，只是企鹅的人不好意思说罢了，所以把责任推苹果头上，苹果怎么知道你上传到那个服务器是被代码侵入了，微信有种别搞SDK啊，不然苹果按照这个逻辑，微信的SDK就是最大的侵入代码啊
ps 微信最近的版本是11号更新的

迅雷的下载本来就是会找最快的链接下载，官方地址又没用

作者: cywater2000 时间: 2015-9-20 10:28

posted by wap, platform: 小米 NOTE

引用:

原帖由 @cfqxd 于 2015-9-19 17:36 发表
说的很好，然而为什么腾讯的微信6.2.5也他妈的中招了？作为前通信业员工，我感觉这些互联网公司虽然效率高，然而内控毫无网络安全思想。百度云、迅雷这些东西在公司内网上应该是绝对禁止使用的，开发工具管理也太随意了。别拿什么国内太慢当借口，GFW随时可以找政府申请加白名单申请专线，上外网毫无压力，我不信堂堂腾讯网易差这几个破钱。还有黑苹果，如果传闻是真的，国内的互联网公司真是无底线

233，真实情况就是确实无底线，

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)