跳至主內容

iOS 惡意程式 XcodeGhost 對香港的影響

發佈日期: 2015年11月17日 3296 觀看次數

在 2015 年 9 月,有資訊保安研究員在官方的 Apple Store 發現了 iOS 的惡意程式 XcodeGhost,過百款的應用程式受到感染,當中包括「微信」、「天天動聽」、「滴滴打車」、「同花順」常用應用程式,以及「憤怒的小鳥2」知名遊戲等。
 

感染途徑


Xcode 是 iOS 應用程式的開發工具套件。除了從蘋果官方的應用商店 (App Store) 以外,國內有流行網站提供 Xcode下載。某些非官方的 Xcode 已被植入了惡意程式碼,開發者使用該 Xcode 開發的 iOS 應用程式,均受到感染。受感染的應用程式能成功繞過檢測,並在蘋果官方的應用商店上架。這款惡意程式被稱為 XcodeGhost。
 

惡意行為


用戶若從蘋果官方的應用商店下載及安裝受 XcodeGhost 感染的應用程式,該惡意程式便會自動連線到 XcodeGhost 預定的指令與控制伺服器 (C2 Server),並把應用程式和裝置的資訊回傳到該指令與控制伺服器,還有可能彈出釣魚視窗以騙取用戶的帳號資料。
 

蘋果官方的即時處理


蘋果官方已發出回應,官方的應用商店已對被發現的惡意程式進行下架處理。受影響的開發者也正更新他們的應用程式,並重新上架。
 

香港的 XcodeGhost 感染情況

 

圖) XcodeGhost 在香港的感染數字

雖然官方以就此事故作出即時處理,可是若用戶沒有移除或更新其應用程式,用戶仍然有風險導致資料洩露。由十月開始,香港電腦保安事故協調中心 (HKCERT) 從 Shadowserver 收到的數據進行分析,發現十月第一個星期平均每日有 14,147 個唯一網絡地址 (Unique IP) 仍連接到 XcodeGhost 的指令與控制伺服器,數量是其他殭屍電腦約30倍之多。

跟據數據,直至十月的第四個星期,數字由 14,147 個唯一網絡地址回落到 7,151 個,回落差不多一半。我們相信蘋果有效阻止 XcodeGhost 在官方商店擴散,而且用戶獲得應用程式的修正更新。

可是,我們估計這七千多個唯一網絡地址的 iOS 裝置仍存在風險,協調中心 (HKCERT) 建議用戶盡快為您的 iOS 裝置及應用程式進行更新。想了解自己所用的應用程式是否存有 XcodeGhost,請參考以下網址:

http://www.ithome.com.tw/news/99234

 

 

 

Reference: