安全半月谈：细思恐极的移动应用后门和企业开发之困

安全要闻

“移动安全的引爆点还没有到来，所有在 PC 上发生过的安全问题，在移动端都会一一重现。”吴瀚清和大牛蛙都曾发表过类似的观点。

愈演愈烈 XcodeGhost 后门事件

“30 年前 Ken Thompson 那个在编译器里留后门的点子，现在终于被黑产用上了。” TK 教主如是说。

9 月 14 日，国家互联网应急中心发布了“关于使用非苹果官方Xcode 存在植入恶意代码情况的预警通报”。随后，苹果公司官方也发布了公告。9 月17 日，第三方安全漏洞平台乌云网发布了《 Xcode 编译器里有鬼–XcodeGhost 样本分析》的报告，
9 月 19 日，一位自称是 XcodeGhost 事件主导者的网友发微博声明称，这只是实验项目，无任何危险，更不会获取用户的隐私数据。

但各安全平台显然不这么认为，腾讯安全应急相应中心（TSRC）发布了事件报告，乌云网对 XcodeGhost 样本进行了分析，看雪安全论坛进行了详细的分析，来自四叶草安全组织的 Saic 则分析了 XcodeGhost 的用途。有人干脆录制了 XcodeGhost 恶意推广应用演示视频。腾讯玄武实验室发布了家用路由器检查 iPhone 是否感染了 XcodeGhost ，国内著名iOS 越狱团队盘古则释出了 iPhone 移动版 Xcode 病毒检测工具。

然而，如果你以为事情这样就结束了未免言之过早。本月，安全公司 FireEye 发布报告，称 XcodeGhost 新变种已经进化到可以支持 iOS 9 版本，报告指出仍有 210 家美国企业在运行被 XcodeGhost 恶意感染的苹果应用。

因此，有人称，这是 App Store“自2008 年上线以来遭受的规模最大的攻击。”也不无道理。

不得不说的百度“全家桶”

知乎上有个帖子，问为什么有人说“「百度全面降低了中国的互联网体验」”？不得不说，乌云网曝出的百度“WormHole 后门”事件令国产软件厂商再次蒙羞。该漏洞存在于百度公司开发的Moplus SDK 中，其中包括4014 款百度官方Android 应用，尽管百度第一时间升级了SDK，但趋势科技随后发布报告认为危害亦然存在。

有研究人员认为该漏洞危害超过 Stagefright 。由于影响较大，除了乌云网的分析报告，传统安全厂商绿盟科技也分析了该漏洞。随着事态的发展，安全界将该后门认定为安全漏洞。安卓用户可以点击这里进行漏洞检测。

正当大家要松一口气的时候， FireEye 又发布了一则安全报告，发现 App Store 中有 2846 个 APP 携带疑似”后门”行为的广告库 mobiSage ——又一款国产第三方广告平台（目前该厂商已经公布相应的处理方案），黑客通过这些APP 可控制用户的手机。这一次iOS 和Android 同时中招。

安全开发

令人嗔目结舌的Redis 后门植入

正当全国人民都沉浸在“双十一”的狂欢中时，知道创宇发布了一则Redis 安全报告，造成这个安全漏洞的根源在于 Redis 不当的默认配置已经安全运维人员的疏忽，使其暴露在公网中，从而被攻击者非法登录。乌云网随后发布了 Redis 后门植入的分析报告。据了解，国内互联网遭到了全网性入侵，上万家暴露的Redis 服务器被入侵。建议企业运维人员及时查看Redis 服务的端口情况以及认证机制是否开启认证或存在弱口令；同时检查Redis 服务root 的.ssh 目录下是否出现非法的Key。

丧心病狂的Java 反序列化

“一波还未平息一波又来侵袭。”2015 年11 月6 日，国外 FoxGlove 安全研究团队于在其博客上公开了一篇关于常见 Java 应用如何利用反序列化操作进行远程命令执行的文章。 Java 在进行反序列化操作的时候会使用 ObjectInputStream 类调用 readObject() 方法去读取传递过来的序列化对象字节流进行处理，利用 Apache Commons Collections 库恰好可以构造出了一个在反序列化操作时能够自动执行命令的调用链。乌云网对该漏洞导致的RCE 进行了分析。

目前全球使用Java 语言的网站有453,342 个。基于Jenkins 的网站有11,059 个，基于JBoss 的网站有29,194，基于WebSphere 的网站有2,076 个。该漏洞在最新版的WebLogic、WebSphere、 JBoss 、Jenkins、OpenNMS 中都可实现远程代码执行。更为严重的是，在漏洞被发现的 9 个月后依然没有有效的 Java 库补丁来针对受到影响的产品进行加固。中、美两国是 Java 语言使用大户，而中国境内共有 128,032 个网站使用 Java 语言……整个世界都不好了。

黑哥称这次 Java 反序列化漏洞“覆盖面会很大，将持续 N 年。”绿盟科技给出的临时解决方案如下：

•使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类。
•在不影响业务的情况下，临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class" 文件。
•Jboss 可以选择关闭 jmx-console。

官方解决方案暂无。

给 InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入 InfoQ 读者交流群）。