XcodeGhost

XcodeGhost

手机病毒
Xcode Ghost,是一种手机病毒,主要通过非官方下载的Xcode传播,能够在开发过程中通过CoreService库文件进行感染,使编译出的App被注入第三方的代码,向指定网站上传用户数据。[1]也就是说,开发者下载的非官方途径的Xcode带有XcodeGhost病毒。
    中文名: 外文名: 别名: 英文名:Xcode Ghost 性质:手机病毒

事件

2015年9月18日,多家安全企业都曝光了一起名为“XcodeGhost”的安全事件,病毒制造者通过感染苹果应用的开发工具Xcode,让AppStore中的正版应用带上了会上传信息的恶意程序。

事件曝光后,多家移动安全企业都公布了各自检测出受波及的App名单,其中360涅盘团队公布的受影响App数量最多。涅盘团队称,通过对14.5万App的扫描,发现有344款App都感染了恶意程序,其中不乏微信、12306、高德地图、滴滴打车等热门App。据“腾讯安全应急响应中心”发布的报告,保守估计,受这次事件影响的用户数超过1亿。这可能是苹果AppStore上线以来,涉及用户数最多的一起安全事件。

病毒制造者

就在事件爆发后,自称是“XcodeGhost”始作俑者的新浪微博用户@XcodeGhost-Author在网上发了一封道歉信。他称,XcodeGhost源于他自己进行的一项实验,获取的全部数据实际为基本的App信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、App安装时间、设备名称、设备类型,除此之外,没有获取任何其他数据。

他也承认,出于私心,在代码加入了广告功能,希望将来可以推广自己的应用,但从开始到最终关闭服务器,并未使用过广告功能。而在10天前,他已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。“XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。”这个给无数人带来大麻烦的人这样说道。

质疑

360安全实验室负责人林伟表示,360团队对其行为的追踪发现,在半年之前,就有人开始在大量的iOS开发论坛上散布Xcode的下载链接,甚至还有人入侵了某论坛版主的ID来修改下载链接,而这些下载链接全部指向了同一份网盘文件,如此大规模的举动,做实验的说法根本解释不通。也有网络工程师在微博上算了一笔账,这种对用户信息的收集,仅仅是使用海外服务器的成本每月就要四五十万美元。“这仅仅是个苦×开发者的个人实验?”

盘古越狱团队的创始人韩争光也认为,进行这种黑客行为对制造者的技术水平要求很高,绝非一般人能够所为,而且从其一系列行为来看,不大可能是一个人做出来的,应该是有一个团队在操盘,背后很可能是和黑产产业链有关系。

影响

据不完全统计,目前已发现上百款app感染了XcodeGhost木马,其中不乏百度音乐、微信、高德地图、滴滴、58同城、网易云音乐、12306、同花顺、南方航空、工银融e联、名片全能王、愤怒的小鸟2等用户量极大的app,涉及互联网、金融、铁路航空、游戏等领域。

据了解,在用户使用了被植入XcodeGhost恶意代码的app后,app会自动向病毒制造者的服务器上传诸如手机型号、系统版本、应用名称、应用使用时间、系统语言等隐私信息。

虽然,微信、高德地图、滴滴打车、网易云音乐等一些知名App,都对外承认受到了“XcodeGhost”事件影响,不过同时这些公司在声明中也都表示,这一事件不会对用户的信息安全造成威胁,并且已经发布了修复恶意程序的新版本应用,用户自行升级就可以解决。

例如,微信团队在公开声明中就表示,“该问题仅存在iOS6.2.5版本中,最新版本微信已经解决此问题,用户可升级微信自行修复,此问题不会给用户造成直接影响。目前尚没有发现用户会因此造成信息或者财产的直接损失,但是微信团队将持续关注和监测。”

建议

用户应定期修改密码

不管黑客是怎么得手的,对于普通用户来说,最重要也是最关心的事只有一个,那就是自己的手机究竟安不安全?“微信、滴滴打车、12306,这些应用我都装了,还做过支付,会不会有风险?绑定的信用卡会不会被盗刷?”很多用户急切想知道答案。

从上述“病毒开发者”回应来看,“XcodeGhost”收集的数据确实不涉及太敏感和关键的信息,目前尚无证据证实“XcodeGhost”有利用收集用户信息违法获利的行为,也没有收到用户损失方面的报告。从这个方面来说,即便安装了受影响的App,iPhone用户也不必过于紧张。

不过,韩争光认为,虽然现在看不到这个恶意程序造成了什么损失,但这个恶意程序是可以带来很多更严重威胁的。就像一个高明的窃贼撬开了严密的防盗门,进到一个人家,这一次只是留下了几张“小广告”就走了,但是他将来是有能力进到家中把财物席卷一空的,“也有可能家中失窃了,但是房主还没有发现。”

韩争光建议,手机中安装了受到影响的App的用户,如果是常用的应用,就暂停使用,等开发者发布新的版本更新后再使用;如果是不常用的应用,可以直接卸载。他同时还建议,虽然目前没有看到造成损失的案例,但确实存在泄露个人关键信息的风险,还是建议用户修改一下手机中的重要密码。无论有没有安全事件,定期修改密码都是一个良好的习惯。

观点

这一次的“XcodeGhost”事件和以往的安全事件很大的不同在于用户其实开始是无从防范的,苹果应用的开发者成为了病毒传播链条上很关键的一环。虽然病毒制造者污染了Xcode工具,但如果开发者都从正规渠道下载这一工具,也不会造成现在的局面。

有iOS开发者表示,从其他渠道下载Xcode而不是从苹果官方渠道下载,其实是业内很普遍的行为,因为官方下载渠道速度太慢,很多程序员为了节省时间往往直接使用国内的下载工具下载,这就给了“XcodeGhost”病毒可乘之机。

猎豹移动表示,这件事给程序员敲响了警钟:要安全,首先得保证自己的开发工具安全。程序员被黑客暗算的事曾经多次发生,无论如何,建议使用正版、未被非法篡改过的开发工具编写程序,避免用户成为受害者;其次,编译环境、发布环境的安全值得注意,编译服务器和自动发布服务器,应保持干净的环境,不要随意安装来源不明的可疑软件。

安全行业业内人士表示,这一次的事件给苹果在安全机制上敲响了警钟,让苹果注意到自身安全机制存在的漏洞,相信苹果会修补这次安全事件造成的影响,在安全审查上变得更加严格。

相关词条

相关搜索

其它词条