0
本文作者: Longye | 2014-11-10 16:22 |
麦芽地网站上传播的“Wirelurker”木马估计让不少人震惊,未越狱的iPhone并非想象中安全,隐私泄露、远程控制这类病毒木马还是能存在。
PANW的研究报告中显示,“Wirelurker”至少存在了6个月之久,受感染软件被下载超过35万次。直到被外媒曝光,苹果才反应过来修复。在这起事件中,“Wirelurker”木马传播网站麦芽地、国内外安全机构、苹果究竟做了什么?在充当怎样一个角色?被“Wirelurker”所窃取的个人隐私又去了哪里?所有细节都是未知。雷锋网采访了几位当事人,希望能还原“Wirelurker”幕后的真实情况。
“Wirelurker”木马被外媒广泛宣传的一点,是能向未越狱iPhone安装应用,但事实上它在国内并不稀奇。“Wirelurker”利用的是名为“企业部署”技术,国内如PP助手、快用助手也是使用这种技术来安装应用。
这其实是一种滥用。“企业部署”是苹果为企业IT部门所准备,主要针对企业内苹果设备过多而推出的一种批量管理技术。
目前苹果已经撤销恶意软件的(企业)安装证书,因此这些软件将无法再像以前一样安装。
“Wirelurker”会向iPhone内安装推广应用和木马应用,然后将iPhone内的通讯录、短信、浏览器等个人数据上传至指定服务器。接下来,数据会去哪?
一位iOS安全人员告诉雷锋网,一般来说这些数据都会流入地下黑产交易市场,那里有很成熟的处理机制。通讯录一般用作电话营销和iMessage广告,通常营销广告都是从这里知道你朋友的姓名和电话;短信、通信记录等用作大数据分析,分析个人喜好做精准投放;如果你还被安装了键盘间谍应用,那么账号密码泄露然后分门别类到相应数据库中也是很常见的。
其中iCloud账号密码还有特别用处。如果某天你的iPhone被某位高科技小偷顺走,Ta第一件事就是去iCloud库里找是否有你的账号密码,解除“找回iPhone”绑定后,这台手机基本就找不回来了。
雷锋网联络到麦芽地CEO陈鹏,他目前正在处理此事。
麦芽地分为两部分,论坛、下载站。下载站(PANW报告内所称的App Store)内容有网站方主动在国外抓取、也有用户分享应用。陈鹏称,他对“Wirelurker”一直不知情,虽然站内有用户反馈曾出现“被安装iPhone应用”的情况,但限于能力精力一直没有太过留意。直到PANW公布此事后,他才确认有木马一事,并在第三天应急关闭了麦芽地下载站。
陈鹏对雷锋网表示,由于个人从事营销方面工作,对技术不太了解,因此这件事情虽然有听闻,却无能为力。麦芽地曾经融过一笔钱,但这个网站一直处在亏损状态,2012年后另一位合伙人出走后,陈鹏逐步也从网站淡出,只有少数精力在做删帖、日常系统维护等事宜。
陈鹏与麦芽地所代表的,是中国Mac应用生态的一个缩影,业内并不止他们一家处于这样状态,在“Wirelurker幕后(下)”中,我们将对这部分进行讲解,敬请期待。
(关于麦芽地与littledew@V2EX爆料、麦芽地与段治&盛峰律师事务所两段关系,雷锋网将另起一文报道,目前还有部分资料不足,各位读者如有知情者,可加微信ilongye爆料)
雷峰网原创文章,未经授权禁止转载。详情见转载须知。