經(jīng)過(guò)技術(shù)人員調(diào)查發(fā)現(xiàn)����,一款名為“KeyRaider”的惡意軟件是導(dǎo)致iCloud賬號(hào)被大規(guī)模盜取的主因�,其成功偷取了超過(guò) 225000 個(gè)有效的蘋(píng)果賬戶(hù)和成千上萬(wàn)的證書(shū)��、私人鑰匙和購(gòu)買(mǎi)收據(jù)。
8月25日,我們推出了一篇關(guān)于“蘋(píng)果商店后臺(tái)盜刷事件”的獨(dú)家報(bào)道,詳細(xì)描述了事件的發(fā)展脈絡(luò):6月30日���,蘋(píng)果發(fā)布iOS 8.4正式版�。7月初�,第一次大規(guī)模盜刷事件爆發(fā)�,大量用戶(hù)反映在蘋(píng)果商店的已購(gòu)項(xiàng)目中出現(xiàn)自己未下載過(guò)的App���,其中越獄用戶(hù)居多�����,也涉及個(gè)別未越獄用戶(hù)�����。7月17至7月20日,盜刷事件再次爆發(fā)���。8月25日凌晨�,威鋒技術(shù)組成員“i_82”發(fā)現(xiàn)某紅包助手利用后臺(tái)漏洞盜取20萬(wàn)個(gè)左右有效的iCloud賬戶(hù)與密碼,并繼續(xù)對(duì)此事件進(jìn)行調(diào)查���。
近日��,事件有了最近進(jìn)展。技術(shù)人員通過(guò)調(diào)查發(fā)現(xiàn)�����,一款名為“KeyRaider”的惡意軟件是導(dǎo)致iCloud賬號(hào)被大規(guī)模盜取的主因���。我們將以時(shí)間軸順序��,對(duì)此次事件的后續(xù)發(fā)展進(jìn)行梳理總結(jié)�。
8月25日16點(diǎn)02分���,威鋒技術(shù)組已將漏洞細(xì)節(jié)提交烏云漏洞報(bào)告平臺(tái)���,并且也提交至第三方合作機(jī)構(gòu)(CNCERT國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)處理�����。
8月26日13點(diǎn)35分,威鋒技術(shù)組成員“CDSQ”在其微博上稱(chēng)����,泄露的22W賬號(hào)只扒下12W時(shí)后臺(tái)數(shù)據(jù)便被清除��,扒下的數(shù)據(jù)中有效數(shù)據(jù)量為105275條���,來(lái)源于插件制作者“氵刀八木”的有69485條�����,來(lái)源iwexin的有9223條�����。
8月27日1點(diǎn)35分,威鋒技術(shù)組緊急開(kāi)發(fā)的iCloud帳號(hào)泄露查詢(xún)工具正式對(duì)外公開(kāi)(查詢(xún)地址)�����。
8月27日9點(diǎn)06分,蘋(píng)果官方做出回應(yīng)��,對(duì)于威鋒技術(shù)組提供的12萬(wàn)賬號(hào)進(jìn)行了安全措施的處理。
8月27日9點(diǎn)09分���,“氵刀八木”在其推特上發(fā)表回應(yīng),稱(chēng)自己也是受害者之一��,并公布查詢(xún)截圖���。
8月27日13點(diǎn)15分��,威鋒技術(shù)組提供查詢(xún)服務(wù)器突然遭受DDOS攻擊���。兩小時(shí)后�,服務(wù)器恢復(fù)正常��。
8月28日4點(diǎn)25分��,威鋒技術(shù)組成員“CDSQ”發(fā)表長(zhǎng)微博���,標(biāo)題為《關(guān)于氵刀八木惡意植入木馬的證據(jù)說(shuō)明》��,通過(guò)證據(jù)直指氵刀八木所制作插件存在盜號(hào)行為�。
8月31日23點(diǎn)25分�,威鋒網(wǎng)發(fā)布《真相曝光:22萬(wàn)個(gè)iCloud賬戶(hù)被盜的那些事》�,文中指出一款名為“KeyRaider”的惡意軟件是導(dǎo)致iCloud賬號(hào)被大規(guī)模盜取的主因����,其成功偷取了超過(guò)225000個(gè)有效的蘋(píng)果賬戶(hù)和成千上萬(wàn)的證書(shū)���、私人鑰匙和購(gòu)買(mǎi)收據(jù)�。
一位名為“mischa07”的威鋒用戶(hù)上傳了至少 15 個(gè)“KeyRaider”的樣本到他的個(gè)人源中�����,因?yàn)樗挠脩?hù)名被硬編碼到惡意軟件中作為加密和解密鑰匙����,技術(shù)人員懷疑他就是本次事件的始作俑者�。
“mischa07”的個(gè)人源
另一個(gè)對(duì)“KeyRaider”有所“貢獻(xiàn)”的是另一個(gè)威鋒用戶(hù)“氵刀八木”����,他的個(gè)人源在論壇里也同樣非常受歡迎,不過(guò)在這次事件發(fā)生后��,“氵刀八木”刪除了所有之前上傳的惡意軟件����,后來(lái)他在論壇極力否認(rèn)此事�。
安全人員找到了他曾經(jīng)上傳過(guò)的應(yīng)用和插件�,并發(fā)現(xiàn)至少有77個(gè)安裝了“KeyRaider”的惡意程序��。他通過(guò)將現(xiàn)有的應(yīng)用或插件重新打包來(lái)注入惡意程序���,其中包括一些像iFile��、iCleanPro等插件�。從泄露的數(shù)據(jù)來(lái)看���,有超過(guò)67%的被盜賬戶(hù)均來(lái)自“氵刀八木”����。
9月2日16點(diǎn)05分,太極越獄針對(duì)盜刷事件做出官方回應(yīng)�����,發(fā)表名為《iPhone越獄后如何做好安全防范》的長(zhǎng)微博�,提醒越獄用戶(hù)及時(shí)更改root密碼���,當(dāng)不能明確插件的用途和功能時(shí)����,不建議隨意安裝插件���。
9月5日13點(diǎn)54分���,蘋(píng)果官方已全部重置威鋒技術(shù)組截獲的現(xiàn)有的10萬(wàn)泄露賬號(hào)的密碼�。
