线潜伏者这种将开启恶意软件历史新纪元的恶意软件,它还能持续多久吗?昨天向全世界透露的这个主要在中国运作、利用 Mac 电脑感染 iPhone 和 iPad 的程序显然已经消失了。“WireLurker 已不复存在”Palo Alto Networks 研究总监瑞安·奥尔森 (Ryan Olson) 宣称。据安全公司称,WireLurker 核心的结构和指挥中心已被拆除。
苹果的措施
昨天获悉该问题后,苹果公司采取了必要措施并阻止了受感染的程序。在发送给路透社的电子邮件中,库比蒂诺公司的发言人宣称:“我们知道恶意软件可供下载,并且针对的是中国用户。我们已阻止已识别的应用程序以防止它们启动 »。通过配置文件授权在越狱 iPhone 上安装这些应用程序的证书已被撤销,无法再安装这些应用程序。 Apple 还建议仅从以下位置下载程序“信任的来源”。
然而,著名独立安全专家 Jonathan Zdziarski 在其博客上发帖担心,苹果的这一措施只是一个半措施。事实上,无法对第三方商店采取行动的苹果已经实施了对应用程序的阻止,这些应用程序将无法再安装在 iOS 上,但是与 WireLurker 相同类型的程序仍然可以访问 iPhone 的内容。
此外,乔纳森·兹齐亚斯基 (Jonathan Zdziarski) 写道,“大部分内容都是从网络下载的,因此可以想象,如果苹果撤销一份证书,其他证书将被替换,并插入该软件的新副本”。
也适用于 Windows
即使死了,线潜者仍然能给人带来惊喜。这种恶意软件似乎是一项长期、大规模行动的核心。事实上,在通过发布安全报告公开其存在后,发现该问题的安全公司 Palo Alto Networks 接到了另一家专门从事该领域的公司的联系。 AlienVault 实验室的 Jaime Blasco 告诉他们,他发现了 WireLurker 的 Windows 版本。换句话说,WireLurker 并不担心 Mac OS X 和 Windows 计算机可能成为 iDevices 的感染途径。
WireLurker,严重威胁的开始
这一针对 Windows 的变种比 3 月 13 日发现的针对 Mac OS 的变种还要早,据报道,目前这一损坏的软件已被下载 65,213 次。这些是 97.7% 的 Windows 版本。在受影响的程序中,我们发现了相当著名的名字,例如 Instagram、Twitter、Minecraft 甚至 Keynote、iPhone 甚至 Find My Phone。
与其后继版本一样,该版本试图感染越狱的 iPhone。然而,它提供的额外信息使 Palo Alto Networks 专家相信,昨天被指定为感染传播中心的 Maiyadi App Store 可能与 WireLurker 的创建者有“直接关系”。
除了 WireLurker 可能发生的突变之外,从 Jonathan Zdziarski 的角度来看,计算机和 iPhone 之间的整个“配对”系统也受到了质疑,并可能带来灾难性的后果:“真正的问题是,iOS 配对机制的设计允许这种方法进行更复杂的变体,以便轻松获得真正的武器。”,他带着沉重的威胁前进,然后解释了他的观点:“WireLurker 似乎是一项相对业余的工作,像 NSA 或 GCHQ 或任何其他高级参与者这样的攻击者可以轻松地实施更有效(和危险)的攻击”通过这种手段。
因此,他呼吁苹果重新审视自己的做法,并建议,除其他外,更好地保护应用程序安装,并通过更好地通知用户来加强用户控制。
另请阅读:
Black Hat 2014:我们能黑掉一架飞机吗?– 05/08/2014
资料来源:
路透社
帕洛阿尔托网络
乔纳森·兹齐亚斯基 (Jonathan Zdziarski) 的博客
