經(jīng)過技術(shù)人員調(diào)查發(fā)現(xiàn)�,一款名為“KeyRaider”的惡意軟件是導(dǎo)致iCloud賬號被大規(guī)模盜取的主因,其成功偷取了超過 225000 個有效的蘋果賬戶和成千上萬的證書、私人鑰匙和購買收據(jù)。
8月25日����,我們推出了一篇關(guān)于“蘋果商店后臺盜刷事件”的獨家報道,詳細描述了事件的發(fā)展脈絡(luò):6月30日����,蘋果發(fā)布iOS 8.4正式版。7月初����,第一次大規(guī)模盜刷事件爆發(fā),大量用戶反映在蘋果商店的已購項目中出現(xiàn)自己未下載過的App�����,其中越獄用戶居多�,也涉及個別未越獄用戶。7月17至7月20日�����,盜刷事件再次爆發(fā)。8月25日凌晨��,威鋒技術(shù)組成員“i_82”發(fā)現(xiàn)某紅包助手利用后臺漏洞盜取20萬個左右有效的iCloud賬戶與密碼��,并繼續(xù)對此事件進行調(diào)查����。
近日,事件有了最近進展�����。技術(shù)人員通過調(diào)查發(fā)現(xiàn)�,一款名為“KeyRaider”的惡意軟件是導(dǎo)致iCloud賬號被大規(guī)模盜取的主因。我們將以時間軸順序�,對此次事件的后續(xù)發(fā)展進行梳理總結(jié)。
8月25日16點02分���,威鋒技術(shù)組已將漏洞細節(jié)提交烏云漏洞報告平臺��,并且也提交至第三方合作機構(gòu)(CNCERT國家互聯(lián)網(wǎng)應(yīng)急中心)處理�。
8月26日13點35分�,威鋒技術(shù)組成員“CDSQ”在其微博上稱,泄露的22W賬號只扒下12W時后臺數(shù)據(jù)便被清除��,扒下的數(shù)據(jù)中有效數(shù)據(jù)量為105275條,來源于插件制作者“氵刀八木”的有69485條���,來源iwexin的有9223條�。
8月27日1點35分�,威鋒技術(shù)組緊急開發(fā)的iCloud帳號泄露查詢工具正式對外公開(查詢地址)。
8月27日9點06分���,蘋果官方做出回應(yīng),對于威鋒技術(shù)組提供的12萬賬號進行了安全措施的處理����。
8月27日9點09分,“氵刀八木”在其推特上發(fā)表回應(yīng)��,稱自己也是受害者之一����,并公布查詢截圖。
8月27日13點15分����,威鋒技術(shù)組提供查詢服務(wù)器突然遭受DDOS攻擊。兩小時后�,服務(wù)器恢復(fù)正常�。
8月28日4點25分���,威鋒技術(shù)組成員“CDSQ”發(fā)表長微博���,標(biāo)題為《關(guān)于氵刀八木惡意植入木馬的證據(jù)說明》,通過證據(jù)直指氵刀八木所制作插件存在盜號行為���。
8月31日23點25分�,威鋒網(wǎng)發(fā)布《真相曝光:22萬個iCloud賬戶被盜的那些事》���,文中指出一款名為“KeyRaider”的惡意軟件是導(dǎo)致iCloud賬號被大規(guī)模盜取的主因�����,其成功偷取了超過225000個有效的蘋果賬戶和成千上萬的證書�����、私人鑰匙和購買收據(jù)���。
一位名為“mischa07”的威鋒用戶上傳了至少 15 個“KeyRaider”的樣本到他的個人源中,因為他的用戶名被硬編碼到惡意軟件中作為加密和解密鑰匙���,技術(shù)人員懷疑他就是本次事件的始作俑者�。
“mischa07”的個人源
另一個對“KeyRaider”有所“貢獻”的是另一個威鋒用戶“氵刀八木”,他的個人源在論壇里也同樣非常受歡迎�,不過在這次事件發(fā)生后,“氵刀八木”刪除了所有之前上傳的惡意軟件�,后來他在論壇極力否認此事。
安全人員找到了他曾經(jīng)上傳過的應(yīng)用和插件���,并發(fā)現(xiàn)至少有77個安裝了“KeyRaider”的惡意程序�����。他通過將現(xiàn)有的應(yīng)用或插件重新打包來注入惡意程序,其中包括一些像iFile�����、iCleanPro等插件����。從泄露的數(shù)據(jù)來看,有超過67%的被盜賬戶均來自“氵刀八木”�。
9月2日16點05分,太極越獄針對盜刷事件做出官方回應(yīng)����,發(fā)表名為《iPhone越獄后如何做好安全防范》的長微博��,提醒越獄用戶及時更改root密碼�����,當(dāng)不能明確插件的用途和功能時�,不建議隨意安裝插件�����。
9月5日13點54分�����,蘋果官方已全部重置威鋒技術(shù)組截獲的現(xiàn)有的10萬泄露賬號的密碼�。
