iOS歹意软件KeyRaider怎样偷取超越22.5万苹果账户(1)
概要
最近威锋技巧组宣布微博称发明苹果商店后盾存在破绽,22.5万无效苹果账户暗码被盗。他们对外颁布了iCloud账号泄漏查问东西(地址),只要输入用户邮箱,就可以查问其iCloud帐号是否被盗。
在与威锋技巧组的合作过程中,咱们(paloaltonetworks研究人员)选取了92个最新iOS歹意软件家族的样本。经由分析样本咱们发明这个叫做“KeyRaider”的终极歹意软件。咱们认为这是现在针对苹果账户的影响最为严重的歹意软件。
KeyRaider的目标是逃狱iOS装备,并经由位于中国的第三方Cydia存储库进行分布。总的来说,这一威胁现在可能影响到来自18个国家的用户,此中包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国。
歹意软件经由MobileSubstrate钓取系统进程,而后经由拦截装备上iTunes的流量偷取苹果账户用户名、暗码以及装备GUID。KeyRaider偷取苹果推送通知服务的证书以及私钥,窃取并分享app Store购物信息,禁用iPhone和iPad上本地和远程的解锁功能。
KeyRaider成功偷取了22.5万无效苹果账户以及成千上万的证书、私钥以及购物凭据。歹意软件将偷取的数据传到智慧与控制(C2)服务器上,而服务器本身就存在破绽,因此用户信息再度暴露。
攻打原本的目的是为了让应用了两个逃狱东西的iOS用户可能在没有实际支付的情形下,应用官方应用商店的收费App。而逃狱软件通常能帮助用户实现这一无法在正常情形下完成的行为。
而这两个逃狱东西可能从C2服务器上劫持app购置请求、下载用户信息或者购置凭据,而后用户模仿iTunes协议登录Apple的服务器并执行购置app或者其余项目的请求。这两个逃狱东西的下载量已超过2万次,也就意味着有至少2万用户正在滥用22.5万的被盗凭据。
一些受害者称他们被盗的苹果账户显示了异常app购置记录,不仅如此,还有人的手机收到了勒索要求。
这里咱们将介绍这个歹意软件和攻打的详细情形。
发明KeyRaider
首次发明这个破绽的是来自扬州大学的一个学生,网名为“i_82”,他同时也是威锋技巧组的成员。
事情从头说起:
6月30日,苹果宣布iOS 8.4正式版。
7月初,第一次大规模盗刷变乱爆发,7月17-20日,第二次大规模盗刷变乱爆发。而这些被盗刷的用户包括下载过各类助手软件、逃狱过的用户,也包括从未逃狱过的用户。
8月25日凌晨,威锋技巧组成员发明某红包助手后盾破绽,发明20万个左右无效的iCloud账户与暗码。并于当天下战书将破绽提交。
8月26日下战书,威锋技巧组成员在其微博上颁布,泄漏的22W账号只扒下12W时后盾数据就被清除了,并在随后指出,基本上确认这次的盗号变乱和刀八木有脱不开的关系!如果有安装它的插件的(不管什么插件)请全体卸载并更改您的全体的Apple相干的暗码!!!
8月27日凌晨,威锋技巧组对外颁布iCloud帐号泄漏查问东西正式对外公开查问,查问地址为:https://www.weiptech.org/ 。包括被扒下来的,被泄漏偷取的Apple ID的无效数据量为105275条,此中起源八木的有69485条,起源iwexin的有9223条。而为了保护用户隐私,防止暗码二次泄漏,该查问东西只会显示被盗暗码前后的数据,其余部分均予以隐去。
8月27日上午,苹果官方做出反应。威锋技巧组将相干账号供给给苹果安全体门后,苹果对这批账号做了安全措施。如果用户在登录iCloud要求修改暗码,则有可能该账户在本次泄漏名单中。
8月27日中午,威锋技巧组宣布微博,“自12:57分开始,威锋技巧组供给查问服务器遭受DDOS攻打。现在服务器访问缓慢,正在联系威锋网总部处理。”这意味着,在威锋技巧组揪出盗窃账户黑手后,对一部分黑手的既得利益产生影响,从而受到了歹意攻打。
8月27日下战书,威锋技巧组成员再一次发表微博,提醒所有iCloud用户,改暗码是当务之急,开二步验证式无法杜绝利用刷榜的,最主要最主要最主要的是防止被歹意锁机!
研究者经由观察这些用户安装的逃狱软件,发明一个逃狱软件收集用户信息并上传到一个特殊网站上面。而这个网站有一个简单的SQL注入破绽,允许攻打者访问“top100”数据库中的全体记录。
图1.威锋技巧组在C2服务器中发明的SQL注入破绽
在这个数据库中,有一个表名为“aid“,包括225941个条目。尽管部分条目有加密,但是此中仍然有大约2万条中包括用户名、暗码和GUID明文。
经由逆向逃狱软件,研究者发明一段代码应用定向键“mischa07“的AES加密。应用这个静态暗码可能成功破解加密的用户名和暗码。后来经证实,这些账户都是苹果用户名及凭据。研究者下载了大约一半的数据之后,网站管理员发明这一情形随即关闭了服务器。
然而分析了威锋技巧组的报告之后,Palo Alto网络研究人员并没有发明报告中提到的包括窃取暗码并将其上传到C2服务器的歹意代码。然而,经由威锋供给的相干信息,咱们发明存在其余歹意软件在收集用户被盗的信息并将其上传到同样的恶服务器上面。
| 第 1 页: |
转载自:https://netsecurity.51cto.com/art/201509/490131.htm
声明: 除非转自他站(如有侵权,请联系处理)外,本文采用 BY-NC-SA 协议进行授权 | 智乐兔
转载请注明:转自《iOS歹意软件KeyRaider怎样偷取超越22.5万苹果账户(1)》
本文地址:https://www.zhiletu.com/archives-4748.html
关注公众号:
微信赞赏
支付宝赞赏
鲁公网安备 37011302000311号
