惡意軟體KeyRaider 導致超過22.5 萬越獄iOS 用戶的帳戶被盜

越獄的 iPhone 有它的缺點。在這次被稱為“迄今為止惡意軟件造成的最大蘋果帳戶被盜”事件中, 帕洛阿爾托網絡安全公司於上週日發布了一份報告,其中詳細描述了一種名為“KeyRaider”的新型iOS 惡意軟體,這個軟體竊取了超過22.5 萬名蘋果用戶的帳戶信息。這一惡意軟體的目標是那些被駭過的手機——也就是越獄iOS 設備,所以對於數以百萬計並沒有越獄的蘋果用戶來說,這並不是什麼嚴重威脅。

如果有人不太了解什麼是越獄,這裡介紹一下。越獄這種行為在幾年前更為普遍,蘋果的用戶在越獄之後可以在iOS 設備上安裝那些未授權安裝的應用。

許多的越獄應用允許用戶對他們的iPhone 手機主題、小部件、啟動桌面、多個用戶界面等進行個性化設置。不過,之後蘋果開始從用戶越獄的原因入手,添加了官方授權的定制選項,如Today Widgets、動態壁紙、改進後的多工任務處理體驗、自定義鍵盤等等,這些都減少了蘋果用戶的越獄行為。

對iOS 設備做越獄意味著用戶繞過了內置的安全保護,因此這會將他們暴露給類似這次事件中的惡意軟件進行攻擊。比如,曾經一個名為“Unflod”的惡意軟件就是通過截獲加密流量來竊取蘋果設備的密碼。另一個名為AppBuyer 的惡意軟件則使用類似技術來竊取密碼以及從應用商店購買應用程序。

但是,這一次 KeyRaider 更進了一步。

KeyRaider 不只是竊取蘋果帳戶的用戶名、密碼和設備的GUID (設備ID),它還會盜取蘋果推送通知服務使用的證書和私鑰, 禁止被盜iPhone 或者iPad 通過解鎖密碼或者iCloud 服務進行解鎖。

這也導致一些用戶在惡意軟體散播之後只有交納贖金才能使用iPhone。

keyraider19-500x592

帕洛阿爾托網絡安全公司聯手威鋒技術組對這一最新惡意軟件進行研究,該技術組的成員來自一個總部設在中國的大型蘋果粉絲網站威鋒網。這一團隊已經就一些用戶帳戶出現未經授權的購買和應用安裝的情況展開調查。

在此之前,中國科技媒體在8 月報導了這次被盜事件的細節,報導指出,攻擊者擁有了用戶帳戶信息的訪問權限, 他們還可以獲得電子郵件、消息、文檔和照片等個人數據。

KeyRaider 是通過越獄軟體Cydia 在中國的第三方庫散播, 但也影響到了中國之外的用戶, 包括那些來自法國、俄羅斯、日本、英國、美國、加拿大、德國、澳大利亞、以色列、意大利、西班牙、新加坡和韓國的用戶。

不過,帕洛阿爾托網絡安全公司告訴我們主要的影響還是在中國。

“我們的確有識別到其他一些國家的電子郵件地址,但這些只佔少數,” 帕洛阿爾托網絡安全公司42 部的情報主任瑞恩·奧爾森(Ryan Olson)告訴我們。

他還表示,由於很難為惡意軟體的攻擊規模和範圍定量,帕洛阿爾托網絡安全公司不能完全肯定這次事件是迄今為止規模最大的一次攻擊。

奧爾森解釋稱,“通常我們不知道有多少證書被盜, 而在本次事件中,威鋒技術組能夠訪問被盜證書的數據庫,這讓我們比在先前的事件中能夠更好地進行統計。”奧爾森還補充說,針對iOS 的惡意軟件並不常見,不過如前所述,其他類型的數據洩露也會洩露信息。

例如,如今人們可能對名人照片的iCloud 賬戶攻擊最為熟悉,這類攻擊會洩露私人照片。但是這種攻擊範圍較小,最多影響幾百人,而且這種攻擊的基礎是網路釣魚,而不是惡意軟體。

據帕洛阿爾托網絡公司稱,KeyRaider 惡意軟體盜取了超過22.5 萬個有效的蘋果帳戶和成千上萬的證書、私鑰和購買收據。這些盜來的數據被上傳到一個存在漏洞的命令控制型服務器上。

此次攻擊令兩種越獄插件的用戶可以在未付費的情況下從官方應用商店下載應用。截止到目前,這些越獄插件的下載次數已超過2 萬次,這意味著約有2 萬名用戶正在濫用22.5 萬個被竊憑證。

這一惡意軟件在中國受到密切關注, 不僅是因為它的散播方式(通過中國的Cydia 存儲庫),還在於許多中國的賣家會將已越獄的iPhone 賣給客戶。

換句話說,KeyRaider 並不會影響到大部分的iOS 用戶群。一年前蘋果就宣布擁有8.85 億的iTunes 帳戶,所以22.5 萬名受影響的個體只佔據蘋果帳戶持有人非常小的一個比例。不過隨著蘋果在中國市場的增長,這種惡意軟件的存在表明了未來可能出現的問題,。

出處:TechCrunch

2015.09.01 由Sarah Perez (@sarahintampa) 發布

翻譯:曹木

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

Loading