iphone-raid

越狱的 iPhone 有它的缺点。在这次被称为 “迄今为止恶意软件造成的最大苹果帐户被盗” 事件中, 帕洛阿尔托网络安全公司 于上周日发布了一份  报告 ,其中详细描述了一种名为 “KeyRaider” 的新型 iOS 恶意软件,这个软件窃取了超过 22.5 万名苹果用户的帐户信息。这一恶意软件的目标是那些被黑过的手机——也就是越狱 iOS 设备,所以对于数以百万计并没有越狱的苹果用户来说,这并不是什么严重威胁。

如果有人不太了解什么是越狱,这里介绍一下。越狱这种行为在  几年前 更为普遍,苹果的用户在越狱之后可以在 iOS 设备上安装那些未授权安装的应用。

许多的越狱应用允许用户对他们的 iPhone 手机主题、小部件、启动桌面、多个用户界面等进行个性化设置。不过,之后苹果开始从用户越狱的原因入手,添加了官方授权的定制选项,如 Today Widgets、动态壁纸、改进后的多任务处理体验、自定义键盘等等,这些都减少了苹果用户的越狱行为。

对 iOS 设备做越狱意味着用户绕过了内置的安全保护,因此这会将他们暴露给类似这次事件中的恶意软件进行攻击。比如,曾经一个名为 “Unflod” 的恶意软件就是通过截获加密流量来窃取苹果设备的密码。另一个名为 AppBuyer 的恶意软件则使用类似技术来窃取密码以及从应用商店购买应用程序。

但是,这一次 KeyRaider 更进了一步。

KeyRaider 不只是窃取苹果账户的用户名、密码和设备的 GUID (设备 ID),它还会盗取苹果推送通知服务使用的证书和私钥, 禁止被盗 iPhone 或者 iPad 通过解锁密码或者 iCloud 服务进行解锁。

这也导致一些用户在恶意软件散播之后只有交纳赎金才能使用 iPhone。

keyraider19-500x592

帕洛阿尔托网络安全公司联手  威锋技术组 对这一最新恶意软件进行研究,该技术组的成员来自一个总部设在中国的大型苹果粉丝网站  威锋网 。这一团队已经就一些用户帐户出现未经授权的购买和应用安装的情况展开调查。

在此之前,中国科技媒体在 8 月  报道 了这次被盗事件的细节,报道指出,攻击者拥有了用户帐户信息的访问权限, 他们还可以获得电子邮件、消息、文档和照片等个人数据。

KeyRaider 是通过越狱软件 Cydia 在中国的第三方库散播, 但也影响到了中国之外的用户, 包括那些来自法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国的用户。

不过,帕洛阿尔托网络安全公司告诉我们主要的影响还是在中国。

“我们的确有识别到其他一些国家的电子邮件地址,但这些只占少数,” 帕洛阿尔托网络安全公司 42 部的情报主任瑞恩·奥尔森(Ryan Olson)告诉我们。

他还表示,由于很难为恶意软件的攻击规模和范围定量,帕洛阿尔托网络安全公司不能完全肯定这次事件是迄今为止规模最大的一次攻击。

奥尔森解释称,“通常我们不知道有多少证书被盗, 而在本次事件中,威锋技术组能够访问被盗证书的数据库,这让我们比在先前的事件中能够更好地进行统计。” 奥尔森还补充说,针对 iOS 的恶意软件并不常见,不过如前所述,其他类型的数据泄露也会泄露信息。

例如,如今人们可能对  名人照片的 iCloud 账户攻击 最为熟悉,这类攻击会泄露私人照片。但是这种攻击范围较小,最多影响几百人,而且这种攻击的基础是网络钓鱼,而不是恶意软件。

据帕洛阿尔托网络公司称,KeyRaider 恶意软件盗取了超过 22.5 万个有效的苹果账户和成千上万的证书、私钥和购买收据。这些盗来的数据被上传到一个存在漏洞的命令控制型服务器上。

此次攻击令两种越狱插件的用户可以在未付费的情况下从官方应用商店下载应用。截止到目前,这些越狱插件的下载次数已超过 2 万次,这意味着约有 2 万名用户正在滥用 22.5 万个被窃凭证。

这一恶意软件在中国受到密切关注, 不仅是因为它的散播方式 (通过中国的 Cydia 存储库),还在于许多中国的卖家会将已越狱的 iPhone 卖给客户。

换句话说,KeyRaider 并不会影响到大部分的 iOS 用户群。一年前苹果就  宣布拥有 8.85 亿的 iTunes 账户 ,所以 22.5 万名受影响的个体只占据苹果账户持有人非常小的一个比例。不过随着苹果在中国市场的增长,这种恶意软件的存在表明了未来可能出现的问题,。

我们已经要求苹果公司就此发表评论,一有消息即刻更新。