官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
根据安全媒体的最新报道,近1.28亿iOS用户下载了包含XcodeGhost恶意软件的应用程序,但苹果却并没有告知目标用户关于此次攻击的信息。
2021年3月,Hackread.com报告了一次供应链攻击,在此次攻击活动中,网络犯罪分子使用了XcodeSpy恶意软件来攻击那些使用Xcode集成开发环境的开发人员,而2015年也曾出现过类似的恶意软件。该恶意软件代号为XcodeGhost,它将允许攻击者使用从第三方网站下载的恶意版本Xcode在合法应用程序中插入恶意代码。
需要注意的是,Xcode是苹果的官方应用程序开发工具。在当时,有报道称苹果很快就终止了相关的攻击活动。
然而,根据一份最新报告,Epic Games在跟苹果打官司的过程中层提交过一份电子邮件内容,并披露了关于这一特定攻击的令人吃惊的新细节。结果显示,近1.28亿iOS用户下载了包含XcodeGhost恶意软件的应用程序,而苹果方面却对此次恶意软件攻击一直保密,没有透露任何关于此次攻击活动的细节内容。
目前这两家公司都在法庭上打官司,因为苹果在2020年8月将《堡垒之夜》这款游戏从其应用程序商店中下架了,而此前Epic Games曾使用了一种应用内支付系统,以绕过苹果30%的应用内购买手续费。
Ars Technica最初报道了这起案件的调查结果,他表示Epic已经披露了一系列电子邮件,显示苹果管理层选择不向1.28亿受影响的iPhone用户通报iOS生态系统有史以来最大规模的网络攻击活动。
这一黑客行为在2015年iPhone 6s发布时被曝光,而Palo Alto Networks的网络安全研究人员当时也正在调查XcodeGhost恶意软件攻击活动。据报道,当时App Store上提供的40个应用都包含了相关的恶意软件。
不过据知情人士透露,当时受感染的应用程序数量远远不止这些,大概有4000多个应用程序受到了影响。此外,研究人员指出,受感染的应用程序中包含的代码不仅会使iOS设备成为僵尸网络的一部分,而且攻击者还能够窃取用户的隐私数据。
为此,Epic Games发布了一系列电子邮件,其中苹果管理层讨论了向因攻击而受到影响的1.28亿全球用户发送警告电子邮件的后果。在其中一封影响声誉的电子邮件中,苹果应用商店副总裁Matthew Fischer致函公司全球营销高级副总裁Greg Joswiak以及公司公关团队的Christine Monaghan和Tom Neumayr,并说到:
“由于有大量客户可能受到影响,我们是否要向所有客户发送电子邮件?请注意,这将对电子邮件的语言本地化带来一些挑战,因为这些应用程序的下载发生在世界各地各种各样的应用商店店面上。”
苹果iTunes当时的客户体验经理Dale Bagwell在另一封邮件中写道:“我们有一个批量请求工具,可以让我们发送电子邮件,不过,我们仍在测试,以确保能够准确地为每个客户提供应用程序的名称。”
有趣的是,这封邮件从来没有发出过,苹果公司的代表也无法向法庭提供任何证据证明这封邮件是伪造的或已被发送的。
无论邮件是否发出,苹果公司选择不通知用户大规模泄密的事实,肯定会损害其六年前声称自己专注于隐私的公司声誉。苹果一直把自己标榜为一家致力于保护用户隐私的公司,甚至还与美国联邦调查局(FBI)大肆进行宣传。
但毫无疑问的是,Epic Games在法庭上分享的这些电子邮件内容肯定会让苹果公司的声誉受损。