[Cydia安全]大量iCloud洩密!駭客從Cydia盜版後門插件獲取22萬筆iCloud帳密

1440589152-2973542961_n  
瘋先生之前常說天下沒有白吃的午餐,如今又再次驗證了此說法,有中國資訊安全鳥雲(WooYun)公佈最新安全漏洞,指出有22萬筆iCloud帳密以及機密訊息,已經被多款內置後門的越獄插件竊取,通常這些插件會被嵌入後門插件,大都是由盜版源上所安裝的盜版插件導致,由於這些盜版插件都是由來歷不明方式取得,或是有心開發者自己撰寫修改而成,取得後再針對插件值入後門代碼,越獄用戶只要一安裝後就會自動將iCloud帳號與駭客想要的機密資訊回傳至主機端上,才會導致駭客輕易獲取22萬筆iCloud帳密,如果你有在使用盜版源或盜版插件就真的要小心謹慎。

插件漏洞訊息

1440588435-1689543392_n  
WooYun 安全漏洞來源:http://www.wooyun.org/bugs/wooyun-2015-0136806



後門漏洞來自

此事昨日(8/25)就看見,原本以為只是單純大陸用戶安裝微信的搶紅包助手外掛才有影響,沒想到還牽涉到其它盜版軟體源受影響,不過此次有高達22筆資料遭竊被流出,這也證明了盜版用戶超多,或許這只是冰山一角,不過貪小便宜用戶的相關帳密也應該都很早就流出,本事件後續根據威鋒技術組自己檢查發現問題來源自搶紅包助手,就是3K抢红包王內藏有後門導致這次事件發生,不過除了紅包助手外,會導致被盜來源大概還有幾個方向可調查,分別如下:
1. 安裝過 3K抢红包王3.0、微信群發iwexin、bamu、威鋒iappinbuy、iappinbuy與內購等盜版插件 用戶。
2. 安裝盜版軟體源如氵刀八木、mischa07、威鋒源等盜版軟體源用戶。

威鋒也脫不了關係,底下養了一大堆盜版用戶群,隨意讓使用者自己經營上傳任何一種盜版軟體源,任人提供下載,用戶被盜大多都是來自威鋒軟體源上,我看要撇清關係,除非將所有子軟體源都關閉才有辦法控管。
此不影響花錢購買插件用戶,請正版用戶不需太擔心此問題,除非裝了紅包助手或是盜版源才會受影響。
根據國外安全人員Claud Xiao分析,他將這次iCloud事件的iOS惡意木馬命為「KeyRaider」,該木馬是針對所有iOS越獄的設備,受影響用戶大多來自中國用戶,已經遭受感染有高達到18個國家,有中國、法國、俄羅斯、日本、英國、加拿大、美國、德國、澳大利亞、義大利、西班牙、新加坡、台灣、韓國等國。
大陸盜版軟體源老大威峰也將自家門下的氵刀八木軟體源關閉,並提出氵刀八木將不少免費正版插件自行植入KeyRaider木馬證明,不過178盜版源上面的氵刀八木軟體源至今還在,裡面大多是破解插件與免費插件,其中像是些iCleaner Pro、Zepplin、Appsync for iOS8等用戶必用免費插件,通通都被氵刀八木給偷植入木馬代碼,不過還有另一個散播者製造者mischa07,這兩位用戶分別在各自軟體源內,上傳大約有77個以上含有KeyRaider木馬插件,手法都是直接重新打包deb再提供讓人下載。
KeyRaider主要是利用越獄的Mobile Substate裝入系統,竊取AppleID、密碼、設備GUID、購買訊息,不光只是竊取帳密,連同推送通知證書和私人鑰匙也都一併被控制與竊取。獲取到的訊息也全數上傳至C2伺服器上,這C2伺服器一共有三台主機,目前已知有top100.gotoip4.com、www.wushidou.com主機,網域都是與113.10.174.167有關連,在gotoip4這台主機上有三個資料庫,分別是aid、cert、other,另wushidou主機透過4個PHP腳本是存放aid.php、cert.php、other.php與data.php,不過這些伺服器也有漏洞,導致眾多被竊取的用戶數據一同遭其他駭客竊取流出。這些遭受竊取的資料,可以偽裝登入蘋果iTunes服務主機,任意購買或下載要求的App,例如之前PP助手竊取帳密大量下載特定App事件,甚至更嚴重用戶是會導致設備遭修改密碼,導致無法關閉尋找我的iPhone變成一台鎖機設備,被勒索要求匯款來解鎖。

解決防護方法

1.移除軟體源與盜版軟體源
2.修改AppleID密碼(改密碼教學
3.啟用蘋果二次認證(二次認證教學
4.檢查是否有dylib木馬(手動教學)、(插件教學

如果你所使用的帳密與EMAIL都相同,那就真的要小心,越獄所謂的不安全往往都是來自於貪小便宜的用戶,如你認為就算被盜用帳密也沒關係,放任不管後,後續駭客將會採取更極端手法,將你的iCloud個人資料與密碼全數改掉,造成你無法繼續登入使用AppStore,這麼一來就能恐嚇威脅強迫你匯款某金額才能將帳號還你或解除尋找我的iPhone,這將面臨因小錢而失大錢地步。

查詢是否有被竊取

方法1.查詢自己設備是否有安裝到含有dylib木馬(教學)。
方法2.由威鋒自己撈到的1X萬筆洩密資料,非22萬筆完整資料庫查詢,如怕有安全疑慮,請勿輸入自己的AppleID,請使用方法1即可。

★ 聲明:本文版權所有,非經瘋先生授權,不得轉載!如發現未經授權轉載至其它網站將採取相關處理流程。


【 如喜歡瘋先生教學歡迎加入粉絲團 】

你可能有興趣的文章