XcodeGhost還沒走，UnityGhost病毒風云再起

本月初因為越獄渠道的漏洞，導致黑客從國內(nèi)盜取了至少22萬個蘋果用戶的登錄名和密碼。上周又因為XcodeGhost事件，微信、滴滴出行、網(wǎng)易云音樂等最常用的軟件也出現(xiàn)安全隱患，以至于蘋果官方都出面發(fā)布相關聲明，稱已從其官方App Store撤下被惡意篡改代碼的應用。然而危機就此解除了嗎？Android又會不會有危險？

盡管XcodeGhost的作者聲稱已經(jīng)關閉了自己的服務器，但并非網(wǎng)易云音樂官微說的那樣“不再有任何威脅”。烏云知識庫的一篇文章指出，這些受到病毒感染的App依舊不斷地向服務器（比如init.icloud-analysis.com、init.icloud-diagnostics.com等）發(fā)送著請求。這時黑客只要使用DNS劫持或者污染技術，聲稱自己的服務器就是”init.icloud-analysis.com”，就可以成功地控制這些受感染的App。

受感染的App代碼中，有一串用于接收和處理遠程服務器指令的代碼，它能支持4種遠程的命令，分別能夠控制sleep的時長、窗口消息、url scheme、App Store窗口。利用這4種命令排列組合，烏云團隊用視頻復現(xiàn)了如下4種可以造成危害的攻擊方式：

■ 通過企業(yè)證書授權下載安裝第三方的App

■ 自動跳轉(zhuǎn)到目標App的App Store下載頁面，進行應用推廣

■ 通過跳轉(zhuǎn)到惡意的釣魚頁面，進一步竊取用戶信息

■ 推送詐騙彈窗信息

盡管網(wǎng)易云音樂等App已經(jīng)于近日修復了漏洞，但危機尚未解除。據(jù)《京華時報》的報道，XcodeGhost的作者不止一個人，且依然逍遙法外。另外，一些證據(jù)指出XcodeGhost作者又去迫害Unity引擎了，從Unity 4.6.4一直到Unity 5.1.1的開發(fā)工具也都可能受到了污染，并且該病毒的行為與XcodeGhost一致。

百度安全實驗室稱已經(jīng)確認拿到“Unity-4.X的感染樣本”，分析結果表明，新病毒的邏輯行為和XcodeGhost基本一致，只是上線域名變成了init.icloud-diagnostics.com。這意味著凡是用過被感染的Unity的App，都有可能存在竊取用戶隱私和推送廣告等惡意行為。由于Unity已經(jīng)成為當前最重要的3D手游開發(fā)環(huán)境，游戲開發(fā)者更要額外注意軟件的安全。

在一個名為“Unity圣典”的網(wǎng)站，那位聲稱是XcodeGhost代碼作者的codeFun也出現(xiàn)了，他在論壇上分享了含有病毒污染的Unity引擎，涉及版本從Unity 4.6.4一直到Unity 5.1.1，還有許多論壇網(wǎng)友在底下向樓主致謝。這一行為被網(wǎng)友指出后，codeFun又主動刪除了論壇中發(fā)布的內(nèi)容。

即便XcodeGhost代碼的作者只是一時無心的惡作劇，他也承諾不會利用病毒進行任何惡意行為，但難保其他第三方不會利用病毒作惡。

UnityGhost的基本信息

烏云團隊已經(jīng)從百度安全實驗室拿到UnityGhost的樣本，分析結果表明它同樣也會收集用戶手機的各種信息（時間，bundle id，應用名稱，系統(tǒng)版本，語言，國家等），并上傳到一個新的服務器“http://init.icloud-diagnostics.com”。

UnityGhost的惡意行為和XcodeGhost也如出一轍：下載安裝企業(yè)證書的App；彈App Store的應用進行應用推廣；彈釣魚頁面進一步竊取用戶信息；如果用戶手機中存在某url scheme漏洞，還可以進行url scheme攻擊等。

我們也許看不到躲在暗處的病毒攻擊，但可以謹慎防范。特別是遇到上述惡意攻擊的讀者，請先刪除涉嫌感染病毒的應用，及時修改重要軟件、游戲的賬號密碼。游戲開發(fā)者要注意自己的軟件開發(fā)環(huán)境，從正規(guī)的渠道下載相應的開發(fā)工具。