苹果没有喘息的机会。后XCodeGhost感染了 App Store 上 4,000 多个应用程序的恶意软件,iBackDoor 来了,FireEye 分析师在 2,846 个 iOS 应用程序中发现了一个奇怪的后门。它位于一个名为 mobiSage SDK 的库的级别,由中国公司 adSage 发布。它允许您联系广告服务器并检索应用程序的广告。到目前为止,没有什么异常。
但经过仔细检查,FireEye 发现该库中存在非常侵入性的功能:录音、截图、地理定位、访问应用程序密码等。如果用户得到通知并同意,此类功能可能是合法的。但就 mobiSage 而言,它们可以通过应用程序从所联系的服务器之一下载的简单 Javascript 代码悄悄地激活,而无需用户注意。简而言之,这个库可能是一个极好的间谍工具。
XCodeGhost还在动
然而,迄今为止,FireEye 尚未注意到对这些功能的任何利用。该专业公司也不知道该后门是由 adSage 直接集成还是由第三方集成。然而,她注意到它不再出现在该库的最新版本中。此外,提供此 SDK 的网页当前不再可用(404 错误)。
10 月 21 日,FireEye 联系苹果公司,目前苹果已删除了大量涉案应用程序。昨天,据 SC 杂志报道,还剩下 400 个,就像 XCodeGhost 的情况一样,这个故事显示了苹果在发布应用程序之前进行的控制的局限性。此外,XCodeGhost 案还没有结束。几天前,FireEye 检测到一个新变种,能够绕过库比蒂诺公司在其最新版本 iOS 中添加的安全功能。与该恶意软件相关的僵尸网络仍然部分活跃。
资料来源:
iBackDoor 上的 FireEye 博客注释
FireEye 关于 XcodeGhost 的博客文章
