当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136806

漏洞标题:22万iCloud账号及机密信息被多款内置后门越狱插件窃取并泄露(越狱iPhone手机真实窃密案例)

相关厂商:某些iPhone插件

漏洞作者: i_82

提交时间:2015-08-27 13:16

修复时间:2015-10-14 07:20

公开时间:2015-10-14 07:20

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-27: 细节已通知厂商并且等待厂商处理中
2015-08-30: 厂商已经确认,细节仅向厂商公开
2015-09-09: 细节向核心白帽子及相关领域专家公开
2015-09-19: 细节向普通白帽子公开
2015-09-29: 细节向实习白帽子公开
2015-10-14: 细节向公众公开

简要描述:

这次从XXX中拖出了大量机密数据,并且得知这些数据的来源居然是……
越狱以后千万不要安装来历不明的应用和插件,被获取到 iCloud 账号以后可以锁定机器,解开激活锁,这些都够受的……

详细说明:

听说最近微信抢红包比较火,而且还有拿这个进行违法赌博的,规则大概是交押金进群,然后庄家发红包大家抢(数额大概是几百块的样子,比押金低),抢到最少的继续发同样金额的,如果不发,则不退押金踢出群。通过这种渠道违法赌博的行为,一个月可入近万元。
因此有不少“黑产”看准了这个机会,推出了一系列“微信红包透视”、“微信秒抢红包”的插件,私底下售卖,其中能够透视红包剩余金额(在自己没拆之前查看)的“红包透视”,曾一度被炒到数万元,一台设备授权需要近千元。
但是有不少使用过抢红包软件的朋友反映,自己的 Apple ID 被拿去刷榜了,这应该是一个黑色的产业链,然而这次我只是发现了其中的冰山一角。
首先我们找到一个分享源,找到了一个名字为“6K 红包王”的插件:http://apt.so/niaooo
装完以后长这样:

1.png


因为是要调查它窃取 iCloud 账号密码的证据,我们直奔主题,进行逆向分析,得到下面的地址:

2.jpg


后台倒是挺性感,没有任何安全意识,抓包找到下面这个地址:

http://www.wushidou.cn/data.php?table=other&game=20a7d77ea9ae9d32370f8c03aa3502e3232cf78b


这个地址把 game 参数去掉,能拿到不少 receipt,不过貌似是加密的。

rowid=11&id=1407842553742&game=xdzz5&receipt=MIIShwYJKoZIhvcNAQcCoIISeDCCEnQCAQExCzAJBgUrDgMCG...


继续分析二进制动态链接库:

an.jpg


bn.jpg


AES256Decrypt 以后,仍然是 data,应该是苹果的某种授权文件,不过仍然不知道怎么读,继续看数据库吧。
上脚本,直接跑(根本无过滤懒得手工):

a.jpg


b.jpg


3.jpg


这个表应该是授权表,数据还不少:

4.jpg


5.jpg


这个更多,好像发现了什么不得了的东西……

c.jpg


d.jpg


目测是 Apple ID,试一试(请审核君帮忙打上马赛克),试了 10 个 Apple ID,登录成功了 7 个:

fuck1.jpg


fuck2.jpg


fuck3.jpg


22万的 iCloud 帐号和密码,还是明文存储的,WTF?这么容易就拿到了?就像是故意被人放出来一样……
整个拖下来花了一天时间,以下是部分截图(业余打码):

fuck4.jpg


从 2W 条数据开始,发现有不少数据存在数据来源信息,其中发现有几个关键词。
下图是“bamu”,难道和威锋论坛中大家经常提起的“刀八木”有关?

fuck5.jpg


其余的数据,有来自“letv”的,大多数还是来自“iwexin”的,不过的确不少。
从大约 3W 条数据开始,来自“iwexin”的数据不再是明文,而是加密后的数据,并不大会解密,期待大牛……

96935a839b54ec705916f64d415b5ebb0d19f2c653bd406afde6029356dfc934, 87168, id=96935a839b54ec705916f64d415b5ebb0d19f2c653bd406afde6029356dfc934&name=96935a839b54ec705916f64d415b5ebb0d19f2c653bd406afde6029356dfc934&pass=c69a086e1e7eed3c7f202f577a668979&guid=4ac5bd654e6b7a1985f4cf6ff020210650149b89&from=bamu&xp_ci=3z2s0F4UzCRNz5S5zBnwzuNtEtYNx&update=1


暂且就分析这么多,关键还是通过乌云网向广大的 iOS 越狱用户发出警报,渗透过程非常简单,还请诸神多多包涵……

漏洞证明:

修复方案:

并没有什么修复方案,手动 @腾讯 @微信 @威锋源 @网警……
谢谢大家围观。

版权声明:转载请注明来源 i_82@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-08-30 07:19

厂商回复:

对于此类边缘APP,暂未能列入处置流程,因此导致的信息泄露事件,由APP管理方负责,同时建议用户不要安装此类APP.

最新状态:

暂无