XcodeGhost

XcodeGhost

手機病毒
Xcode Ghost,是一種手機病毒,主要通過非官方下載的Xcode傳播,能夠在開發過程中通過CoreService庫文件進行感染,使編譯出的App被注入第三方的代碼,向指定網站上傳用戶數據。[1]也就是說,開發者下載的非官方途徑的Xcode帶有XcodeGhost病毒。
    中文名: 外文名: 别名: 英文名:Xcode Ghost 性質:手機病毒

事件

2015年9月18日,多家安全企業都曝光了一起名為“XcodeGhost”的安全事件,病毒制造者通過感染蘋果應用的開發工具Xcode,讓AppStore中的正版應用帶上了會上傳信息的惡意程序。

事件曝光後,多家移動安全企業都公布了各自檢測出受波及的App名單,其中360涅盤團隊公布的受影響App數量最多。涅盤團隊稱,通過對14.5萬App的掃描,發現有344款App都感染了惡意程序,其中不乏微信、12306、高德地圖、滴滴打車等熱門App。據“騰訊安全應急響應中心”發布的報告,保守估計,受這次事件影響的用戶數超過1億。這可能是蘋果AppStore上線以來,涉及用戶數最多的一起安全事件。

病毒制造者

就在事件爆發後,自稱是“XcodeGhost”始作俑者的新浪微博用戶@XcodeGhost-Author在網上發了一封道歉信。他稱,XcodeGhost源于他自己進行的一項實驗,獲取的全部數據實際為基本的App信息:應用名、應用版本号、系統版本号、語言、國家名、開發者符号、App安裝時間、設備名稱、設備類型,除此之外,沒有獲取任何其他數據。

他也承認,出于私心,在代碼加入了廣告功能,希望将來可以推廣自己的應用,但從開始到最終關閉服務器,并未使用過廣告功能。而在10天前,他已主動關閉服務器,并删除所有數據,更不會對任何人有任何影響。“XcodeGhost不會影響任何App的使用,更不會獲取隐私數據,僅僅是一段已經死亡的代碼。”這個給無數人帶來大麻煩的人這樣說道。

質疑

360安全實驗室負責人林偉表示,360團隊對其行為的追蹤發現,在半年之前,就有人開始在大量的iOS開發論壇上散布Xcode的下載鍊接,甚至還有人入侵了某論壇版主的ID來修改下載鍊接,而這些下載鍊接全部指向了同一份網盤文件,如此大規模的舉動,做實驗的說法根本解釋不通。也有網絡工程師在微博上算了一筆賬,這種對用戶信息的收集,僅僅是使用海外服務器的成本每月就要四五十萬美元。“這僅僅是個苦×開發者的個人實驗?”

盤古越獄團隊的創始人韓争光也認為,進行這種黑客行為對制造者的技術水平要求很高,絕非一般人能夠所為,而且從其一系列行為來看,不大可能是一個人做出來的,應該是有一個團隊在操盤,背後很可能是和黑産産業鍊有關系。

影響

據不完全統計,目前已發現上百款app感染了XcodeGhost木馬,其中不乏百度音樂、微信、高德地圖、滴滴、58同城、網易雲音樂、12306、同花順、南方航空、工銀融e聯、名片全能王、憤怒的小鳥2等用戶量極大的app,涉及互聯網、金融、鐵路航空、遊戲等領域。

據了解,在用戶使用了被植入XcodeGhost惡意代碼的app後,app會自動向病毒制造者的服務器上傳諸如手機型号、系統版本、應用名稱、應用使用時間、系統語言等隐私信息。

雖然,微信、高德地圖、滴滴打車、網易雲音樂等一些知名App,都對外承認受到了“XcodeGhost”事件影響,不過同時這些公司在聲明中也都表示,這一事件不會對用戶的信息安全造成威脅,并且已經發布了修複惡意程序的新版本應用,用戶自行升級就可以解決。

例如,微信團隊在公開聲明中就表示,“該問題僅存在iOS6.2.5版本中,最新版本微信已經解決此問題,用戶可升級微信自行修複,此問題不會給用戶造成直接影響。目前尚沒有發現用戶會因此造成信息或者财産的直接損失,但是微信團隊将持續關注和監測。”

建議

用戶應定期修改密碼

不管黑客是怎麼得手的,對于普通用戶來說,最重要也是最關心的事隻有一個,那就是自己的手機究竟安不安全?“微信、滴滴打車、12306,這些應用我都裝了,還做過支付,會不會有風險?綁定的信用卡會不會被盜刷?”很多用戶急切想知道答案。

從上述“病毒開發者”回應來看,“XcodeGhost”收集的數據确實不涉及太敏感和關鍵的信息,目前尚無證據證實“XcodeGhost”有利用收集用戶信息違法獲利的行為,也沒有收到用戶損失方面的報告。從這個方面來說,即便安裝了受影響的App,iPhone用戶也不必過于緊張。

不過,韓争光認為,雖然現在看不到這個惡意程序造成了什麼損失,但這個惡意程序是可以帶來很多更嚴重威脅的。就像一個高明的竊賊撬開了嚴密的防盜門,進到一個人家,這一次隻是留下了幾張“小廣告”就走了,但是他将來是有能力進到家中把财物席卷一空的,“也有可能家中失竊了,但是房主還沒有發現。”

韓争光建議,手機中安裝了受到影響的App的用戶,如果是常用的應用,就暫停使用,等開發者發布新的版本更新後再使用;如果是不常用的應用,可以直接卸載。他同時還建議,雖然目前沒有看到造成損失的案例,但确實存在洩露個人關鍵信息的風險,還是建議用戶修改一下手機中的重要密碼。無論有沒有安全事件,定期修改密碼都是一個良好的習慣。

觀點

這一次的“XcodeGhost”事件和以往的安全事件很大的不同在于用戶其實開始是無從防範的,蘋果應用的開發者成為了病毒傳播鍊條上很關鍵的一環。雖然病毒制造者污染了Xcode工具,但如果開發者都從正規渠道下載這一工具,也不會造成現在的局面。

有iOS開發者表示,從其他渠道下載Xcode而不是從蘋果官方渠道下載,其實是業内很普遍的行為,因為官方下載渠道速度太慢,很多程序員為了節省時間往往直接使用國内的下載工具下載,這就給了“XcodeGhost”病毒可乘之機。

獵豹移動表示,這件事給程序員敲響了警鐘:要安全,首先得保證自己的開發工具安全。程序員被黑客暗算的事曾經多次發生,無論如何,建議使用正版、未被非法篡改過的開發工具編寫程序,避免用戶成為受害者;其次,編譯環境、發布環境的安全值得注意,編譯服務器和自動發布服務器,應保持幹淨的環境,不要随意安裝來源不明的可疑軟件。

安全行業業内人士表示,這一次的事件給蘋果在安全機制上敲響了警鐘,讓蘋果注意到自身安全機制存在的漏洞,相信蘋果會修補這次安全事件造成的影響,在安全審查上變得更加嚴格。

相關詞條

相關搜索

其它詞條