22万个iCloud账户被盗的那些事-行业新闻-福州电脑维修|上门维修维护|包年电脑维修|IT外包

22万个iCloud账户被盗的那些事

iCloud被大范围盗号再引担忧，事变的始末又是怎样的呢？近日，由威锋技术组发现疑似 iOS 插件招致 22 万个 iCloud 泄露的消息让越狱宁静再次被热论，宁静员 Claud Xiao 对此次 iCloud 账号泄露事件以及盗号插件举行了更详细的分析，下面就让我们了解一下事变的来龙去脉。

事件简述

宁静人员经过和威锋技术组的合作，共有 92 个新的iOS恶意软件样本被发现。在对始作俑者的最终目的举行分析后，他们将这些恶意软件命名为“KeyRaider”，这也是招致 iCloud 账号被大范围被盗的主因。

KeyRaider 对准的是越狱的 iOS 设备，这些恶意软件来源国内，不外似乎受影响的并不仅仅是中国的用户，目前这些软件曾经被流传到多达 18 个国家，包括中国、法国、俄罗斯、日本、英国、美国、加拿大、德国、澳大利亚、以色列、意大利、西班牙、新加坡和韩国等地。

该恶意软件经过 Mobile Substrate 来注入系统，并经过阻拦 iTunes 流量从而窃取苹果账号、暗码和设备的 GUID。KeyRaider 偷取苹果推送通知的服务证书和私人钥匙，偷取并分享 App Store 的购买信息，并且禁用 iPhone 和 iPad 的当地和远程解锁功能。

KeyRaider 乐成偷取了凌驾 225000 个有用的苹果账户和成千上万的证书、私人钥匙和购买收据。恶意软件还将偷取来的数据上传到 C2（指令和控制）服务器，该服务器本来就包含了众多的漏洞，用户的信息也因此遭到泄露。

本次打击的对象是安装了两个特定插件的越狱用户，这两个插件可以让用户免费从 App Store 下载使用，大概是免费购买使用内购内容。

这两个插件会劫持使用购买的请求，下载被盗的账户大概 C2 服务器购买收据，然后模仿 iTunes 协议来登入苹果的服务器，并购买使用大概是用户要求的其它项目。这些越狱插件曾经被下载凌驾 2 万次，这意味着大约有 2 万用户在滥用 225000 个被盗的证书。

一些“受害者”表现他们的苹果账户显示了不正常的使用购买历史，而一些用户的手机更是被锁且被勒索钱财。

发现 KeyRaider

这个恶意软件最初被威锋技术组的成员 i_82 发现，在今年的 7 月，因为收到了不少用户指出的未经授权的 iOS 使用在本身的设备异常出现后，威锋技术组的成员便开始了调查事变。经过查看陈诉题目用户的越狱插件，他们发现了一个插件会网络用户的信息，并上传到一个意料不到的网站中，随后他们更是发现该网站有一个 SQL 注入漏洞，该漏洞可以拜访“top100”数据库的所有记录。

在这个数据库中，威锋技术组发现了一个名为“aid”的数据表包含了总共 225941 个词条，大约有 20000 个词条包含了用户名、暗码和 GUID。

经过逆向查找越狱插件，威锋技术组发现了一个利用 AES 密匙加密的代码（mischa07），加密后的用户名和暗码可以乐成地利用这种静态密钥解密。随后威锋技术组证明列出的都是苹果账户用户名和颠末验证的证书。

8 月 25 日下午，威锋技术组将漏洞细节提交乌云漏洞陈诉平台，并且也提交至第三方合作机构（CNCERT国家互联网应急中间）处理。

8 月 26 日下午，威锋技术组成员在其微博上颁布，泄露的 22万账号只扒下12万时背景数据就被清除了。

KeyRaider的流传

KeyRaider 是经过威锋源流传到 iOS 设备的，和 BigBoss 源和 ModMyi 源不同，威锋源还为注册的用户提供公有源功能，用户可以间接上传本身的使用和插件。

一位名为“mischa07”的威锋用户上传了至少 15 个 KeyRaider 的样本到他的个人源中，因为他的用户名被硬编码到恶意软件中作为加密息争密钥匙，所以威锋技术组怀疑 mischa07 便是本次事件的始作俑者。

根据威锋的网页显示，mischa07 上传的插件被下载的次数很多均凌驾1万次，他上传的插件大多提供游戏作弊、系统更改和去使用告白等功能。

mischa07 还上传了两个“风趣”的插件到其个人源。

iappstore：可以在 App Store 下载付费使用而无需付款

iappinbuy：可用在 App Store 内下载使用的内购项目，完全免费

另一个对 KeyRaider 有所“贡献”的是另一个威锋用户刀八木，他的个人源在论坛里也同样非常受欢迎，不外在这次事件发生后，刀八木删除了所有之前上传的恶意软件，后来他在论坛尽力否定这件事。不外在威锋的资助下，宁静人员发现找到了他曾经上传过的使用和插件，并发现至少有 77 个安装了 KeyRaider 的恶意程序。mischa07 似乎是制造恶意程序并开发成不同的版本的人，而刀八木则经过将现有的使用或插件重新打包来注入恶意程序，其中包括一些像 iFile、iCleanPro 等插件。

从泄露的数据来看，有凌驾 67%的被盗账户均来自刀八木。

偷取用户数据

KeyRaider 会网络 3 种用户数据，并经过 HTTP 上传到 C2 服务器，宁静人员确定了两个不同的 C2 服务器。

?　top100.gotoip4.com

?　www.wushidou.cn

在分析期间，这些域名都和 113.10.174.167 这个 IP 有关，在服务器的“top 100”数据库中有 3 个数据表，辨别是：“aid”、“cert”和“other”。KeyRaider 利用了 4 个 PHP 脚本来在服务器上拜访数据库，辨别是：aid.php、cert.php、other.php和data.php。

经发现，“aid”数据表存储了 225941 个被盗的 Apple ID 用户名、暗码和设备的 GUID 组合。“cert”数据表存储了 5841 个受感染设备证书和隐私钥匙的词条。最后，“other”数据表存储了凌驾 3000 个设备 GUID 和来自 App Store 服务器的购买收据词条。

从被盗的 Apple ID 中对邮件地址举行分类，有凌驾一半的邮件服务是由腾讯（@qq.com）提供。

除了国内的用户之外，从数据中还发现了其它国家和地区的域名，包括：

? tw: Taiwan

? fr: France

? ru: Russia

? jp: Japan

? uk: United Kingdom

? ca: Canada

? de: Germany

? au: Australia

? us: United States

? cz: Czech Republic

? il: Israel

? it: Italy

? nl: Netherlands

? es: Spain

? vn: Vietnam

? pl: Poland

? sg: Singapore

? kr: South Korea

恶意举动

KeyRaider 恶意代码存在于用作 MobileSubstrate 框架插件的 Mach-O 静态库，经过 MobileSubstrate 的 API，恶意软件注入了系统进程大概其它 iOS 使用中的任意 API。

KeyRaider 利用了之前一些恶意软件中的技术并加强，其恶意举动重要包括以下几个方面：

盗取苹果账户（用户名和暗码）和设备 GUID

盗取苹果推送通知服务的证书和私人钥匙

阻止受感染设备经过暗码或 iCloud 服务举行解锁

免费使用

一些 KeyRaider 恶意程序样本经过执行代码来下载购买收据和 C2 服务器的苹果账号。然而，只要越狱插件 iappstore 和 iappinbuy 才会被真正利用。

手机勒索

除了偷取苹果账号来购买使用之外，KeyRaider 还可以经过内置功能对 iOS 设备举行勒索。

以往的一些 iPhone 勒索往往是经过 iCloud 服务远程控制 iOS 设备。在一些情况下可经过重置账户暗码来重新得到对 iCloud 的控制。但 KeyRaider 不同，它可以当地禁用任何范例的解锁操作，无论你是否输入精确的暗码。此外它同样可以经过偷取的证书和私人钥匙向你的设备发送信息来勒索用户，让你付款然后大概会帮你解锁。因为这个恶意软件的特殊性，之前可用的一些应对办法也不再适用。

其它风险

一些开发者大概会为本身的使用买单，从而让本身的使用能够在 App Store 中得到更好的位置。利用盗取的数据，非法分子可以在 iOS 设备上安装使用来增加下载量，也便是俗称的“刷榜”。

现金回流

非法分子可以利用偷来的账户从 App Store 购买付费使用，这些付出是由“受害人”承担的，但钱将会支付给苹果并有部分返还给开发者，某些开发者就可以和非法分子分享支出，当然并不是所有的开发者都市立心不良。

渣滓邮件

有用的苹果账户用户名可以被单独出售，用于渣滓邮件的投放，相信这个大家都曾经非常熟习了。

勒索

拥有苹果的账户和暗码，就意味着非法分子可以经过 iCloud 服务来得到你 iOS 设备中的其它信息。

设备解锁

这些被盗的账户还大概流入另一个市场，苹果的宁静机制要求你在抹除和二次贩卖设备的时候要验证 Apple ID。

其它将来的要挟

结合 iCloud 的个人数据，被盗的账户大概还会被用来举行社交工程（一个有经验的黑客能会经过收买或诱骗得到机密数据，这种罕见的打击方式被称为社会工程）、欺诈和有目标性的打击。