中國的 iPhone 開發者論壇 WeipTech(威鋒技術組) 最近在研究一樁駭客案件的時候,追蹤到一台伺服器上,結果發現這台伺服器上頭儲存了 22 萬 5 千筆 iPhone 使用者的帳號以及密碼,之後網路資安公司 PaloAlto 持續調查,發現了幕後元兇為一個名為 KeyRaider 的惡意軟體。

20150902001j

事件起因在 8 月 25 日,在中國「威鋒技術組」的微博發表了這項資訊:「威鋒技術組的一位小夥伴發現,在某紅包類助手,該外掛透過後台注入存在收集用戶 iCloud 用戶帳號、密碼行為。透過漏洞檢測發現共有 20 萬個左右有效的 iCloud 帳號與密碼。請使用了紅包類助手的朋友立即修改密碼!也奉勸某紅包類助手外掛,請盡快收手,更多收集工作威鋒技術組正在全面展開。」

20150902002j

之後威鋒技術組成員想辦法從伺服器上下載這些被竊的帳號資訊,不過他們表示,洩露的 22 萬筆帳號,他們只抓下 12 萬筆的時候,對方就發現並且將後台清除了。不過他們表示,這次的盜號事件和刀八木(Cydia 中的特定源)有脫不開的關係!如果有安裝它的外掛程式(不管什麼外掛程式)請全部移除,並更改全部與 Apple 相關的密碼。

他們進一步從這些資訊中分析,被洩露盜取的 Apple ID 的有效資料量為 105,275 條,其中來源八木的有 69,485 條,來源 iwexin 的有 9,223 條。

20150902003j

▲ 威鋒技術組找到這個伺服器後台的漏洞,利用這個漏洞去抓取被竊取帳號的資料庫。

威鋒技術組有提供一個查詢網址,可以供使用者查詢自己的 iCloud 帳號是否被竊取。而為了保護使用者隱私,防止密碼二次洩露,該查詢工具只會顯示被盜密碼前後的資料,其他部分均予以隱去。

20150902004j

KeyRaider 的作用

在 8 月 27 日蘋果官方的安全部門向威鋒技術組索取相關帳號,針對這批帳號進行安全措施。因此在這段時間,如果使用者登入 iCloud 被要求修改自己的密碼,就有可能是這個帳號已經存在洩漏名單中。

網路資安公司 PaloAlto 針對這事件進行調查,受害的國家包括有中國、美國、英國、法國、俄羅斯以及日本、新加坡等 18 個國家,這也是 iPhone 推出以來至今爆出最大規模的惡意軟體入侵事件。PaloAlto 進一步研究伺服器中的這些帳戶資料,有一半以上的註冊帳號都來自 qq.com、sina.com、163.com、139.com 等信箱,顯示中國的受害者數量至少佔了一半以上。

PaloAlto 藉由威鋒技術組所提供的資訊,進一步發現這個伺服器不光僅僅只有竊取帳號密碼,並且還鎖定使用者手機、向被害者勒贖等功用,他們將這個惡意程式命名為 KeyRaider。由於越獄後的 iPhone 可以允許 App 擁有很大的權限,因此也使得這個 KeyRaider 惡意軟體可以入侵越獄後的 iOS 裝置,竊取使用者的帳號以及密碼資料。

KeyRaider 透過 Cydia 這個第三方應用程式庫中一些不安全的「源」來傳播,可以竊取使用者的 iCloud 帳戶以及匯款的資料,然後將這個資料傳送到另外一個伺服器。當使用者的資料被竊取後,駭客就可以利用他的資訊,在其他的 iOS 裝置上購買 App,但是金額由受害者支付。此外,KeyRaider 還是一款勒索軟體,它會導致 iPhone 鎖機無法開機,等到受害者支付贖金之後,才能繼續使用手機。

蘋果並沒有針對這個事件進行任何評論。不過,在這起事件中,沒有越獄的 iPhone 使用者並不用擔心。


 超過 22 萬越獄 iPhone 使用者 iCloud 帳密遭竊,快來查詢你是否也中招

 https://www.facebook.com/diypc.hk