来龙去脉: 22万个iCloud账户被盗事件详解

iCloud被大规模盗号再引担忧，事情的始末又是怎样的呢？近日，由威锋技术组发现疑似 iOS 插件导致 22 万个 iCloud 泄露的消息让越狱安全再次被热论，安全员 Claud Xiao 对此次 iCloud 账号泄露事件以及盗号插件进行了更详细的分析，下面就让我们了解一下事情的来龙去脉。

一个新被发现的恶意软件家族令越狱版iPhone遭到“洗劫”，超过22.5万个苹果账户的登录凭证被窃取，这是苹果公司历史上规模最大的恶意软件侵害事件之一。

这个恶意软件家族已被命名为“KeyRaider”，通过越狱软件Cydia的第三方库散播，该软件自称为苹果公司官方App Store由应用商店的替代品。Cydia应用中隐藏的恶意代码正在给中国及其他至少17个国家的用户带来问题，其中包括法国、俄罗斯、日本和英国等。

KeyRaider不仅已经导致225941个苹果账户的数据遭窃，同时还令部分受影响手机无法使用，直到用户支付“赎金”时为止。此外，还有一些受害人的账户进行了未经授权的付费活动。

在发现上述未经授权的付费活动后，网络安全公司Palo Alto Networks的研究人员与中国iPhone社区威锋网的会员联手展开了调查。

Palo Alto Networks的研究人员在上周日发布博文称：“KeyRaider已成功窃取22.5万多个有效的苹果账户以及数以千计的证书、私人密钥和购物收据。这个恶意软件向其C2(命令与控制)服务器上传了被盗数据，而这个服务器本身就已存在可能曝光用户信息的弱点。”

此次攻击的意图是令两种越狱插件的用户可从官方App Store应用商店下载应用，并在实际上并未付费的情况下进行应用内购买。这两个越狱插件会劫持应用购买请求、下载被窃账户或来自C2服务器的购物收据，随后模拟iTunes协议以登陆录苹果公司的服务器和购物应用或用户提出请求的其他物品。这些越狱插件的下载次数已超过2万次，这意味着约有2万民用户正在滥用2.25万个被窃凭证。

有些受害人称，他们被盗的苹果账户显示出反常的应用购买历史，其他人则称其手机已被“赎回”。

如果说苹果账户登录凭证遭到盗窃并不是那么糟糕的话，那么这些数据被上传到了一个包含SQL注入弱点的网站上就很糟糕了。大多数受影响用户的电子邮件地址显示其是中国人，或是生活在其他国家的中国人。

KeyRaider恶意软件家族曝光提供了一个“警世故事”，让用户了解到越狱版iPhone的风险。大多数安全专家都不建议用户越狱，除非越狱操作是由具有高度专业知识的人进行操作的。

以往的一些 iPhone 勒索往往是通过 iCloud 服务远程控制 iOS 设备。在一些情况下可通过重置账户密码来重新获得对 iCloud 的控制。但 KeyRaider 不同，它可以本地禁用任何类型的解锁操作，无论你是否输入正确的密码。此外它同样可以通过偷取的证书和私人钥匙向你的设备发送信息来勒索用户，让你付款然后可能会帮你解锁。因为这个恶意软件的特殊性，之前可用的一些应对办法也不再适用。

其它风险

一些开发者可能会为自己的应用买单，从而让自己的应用能够在 App Store 中获得更好的位置。使用盗取的数据，不法分子可以在 iOS 设备上安装应用来增加下载量，也就是俗称的“刷榜”。

现金回流

不法分子可以使用偷来的账户从 App Store 购买付费应用，这些支出是由“受害人”承担的，但钱将会支付给苹果并有部分返还给开发者，某些开发者就可以和不法分子分享收入，当然并不是所有的开发者都会立心不良。

垃圾邮件

有效的苹果账户用户名可以被单独出售，用于垃圾邮件的投放，相信这个大家都已经非常熟悉了。

勒索

拥有苹果的账户和密码，就意味着不法分子可以通过 iCloud 服务来获得你 iOS 设备中的其它信息。

设备解锁

这些被盗的账户还可能流入另一个市场，苹果的安全机制要求你在抹除和二次销售设备的时候要验证 Apple ID。

其它未来的威胁

结合 iCloud 的个人数据，被盗的账户可能还会被用来进行社交工程（一个有经验的黑客能会通过收买或欺骗获得机密数据，这种常见的攻击方式被称为社会工程）、欺诈和有目标性的攻击。

相关阅读：国内22万iPhone越狱用户iCloud账号被多款内置后门iOS插件盗取

最新评论