• 媒体品牌
    爱范儿
    关注明日产品的数字潮牌
    APPSO
    先进工具,先知先行,AIGC 的灵感指南
    董车会
    造车新时代,明日出行家
    玩物志
    探索城市新生活方式,做你的明日生活指南
  • 知晓云
  • 制糖工厂
    扫描小程序码,了解更多

iOS 大危机,XcodeGhost 病毒入侵多款大牌应用

公司

2015-09-18 19:12

在我们的印象中,苹果出品的 Mac 和 iOS 设备一向以安全著称,反倒是用户范围广得多的 Windows 设备和 Android 设备在安全问题上被诟病颇多。但是这种固有印象如今已经面临了诸多挑战,Mac 之前已经局部崩溃,这一次 iOS 设备则面临了非常严峻的危机。

危机来自第三方 Xcode 工具

国内多个厂商的大牌应用使用了第三方途径下载的 Xcode 开发工具(非 Apple 正规途径),用了这个“李鬼开发工具”编译出来的 App 被注入了第三方的代码,会向一个网站(http://init.icloud-analysis.com)上传用户数据,这个网站是病毒作者用来收集用户数据的,而这个潜在了极大危害的病毒名叫 XcodeGhost。

Xcode 是运行在操作系统 Mac OS X 上的集成开发工具(IDE),由苹果公司开发,是开发 OS X 和 iOS 应用程序的最快捷最普遍的方式。

根据安全网站 Wooyun 的披露,即使把苹果官网上的下载 URL 复制到迅雷里下载,最终下载到的还是一个有毒的第三方 Xcode 开发工具,同理,另外从百度网盘上下载的 Xcode 编译器也中招了,目前来看,除了从苹果官方直接下载之外,任何第三方来源,甚至第三方下载渠道的 Xcode 工具都不能保证安全。

来自 Wooyun 的文章称

虽然 XCodeGhost 并没有非常严重的恶意行为,但是这种病毒传播方式在 iOS 上还是首次。也许这只是病毒作者试试水而已,可能随后还会有更大的动作,请开发者务必要小心。这个病毒让我想到了 UNIX 之父 Ken Thompson 的图灵奖演讲 “Reflections of Trusting Trust”。他曾经假设可以实现了一个修改的 tcc,用它编译 su login 能产生后门,用修改的 tcc 编译 “正版” 的 tcc 代码也能够产生有着同样后门的 tcc。也就是不论 bootstrap (用 tcc 编译 tcc) 多少次,不论如何查看源码都无法发现后门,真是细思恐极啊。

并且,在后续的追踪中,发现 http://init.icloud-analysis.com 这个网站的服务器已经关闭,也挖掘不到太多信息,目前也还找不到这个老道病毒作者的痕迹。

也有网友举证说,有网名为”coderfun”的投毒者在各种 iOS 开发者论坛或者微博下留言放下载地址引诱 iOS 开发者下载有毒版本的 Xcode。并且中毒的版本不止 Xcode 6.4,还有 6.1,6.2 和 6.3 等等。

哪些应用中招了?

不废话,直接列表:

  • 网易云音乐
  • 滴滴出行
  • 12306
  • 中国联通手机营业厅
  • 高德地图
  • 简书
  • 豌豆荚的开眼
  • 网易公开课
  • 下厨房
  • 51 卡保险箱
  • 同花顺
  • 中信银行动卡空间

这是 iOS 开发者图拉鼎自己测试的结果,上述是目前已经确定的名单,按照这个态势,后续中招的 iOS 应用极有可能(实际上应该是一定会)继续扩大。并且这个名单中还有很多金融股票相关的,潜在危害难以估量。

在 XcodeGhost 病毒被曝光后,被确认中招的网易云音乐马上发布公告:

“这次感染设计信息皆为产品的系统信息,无法调取和泄露用户的个人信息。目前感染制作者的服务器已经关闭,不会再产生任何威胁。”

但是事实真的如此吗?

实际危害在哪里?

一开始的时候,关注此事的 iOS 开发者表示这个事情的危害并不大,在隐私问题多多的现今,这种程度的泄露算不得什么。但是!在仔细查看研究之后,这些人收回了前面的言论。

四叶新媒体联合创始人,微博用户 Saic 称

“拿文件看了一下,这个木马劫持了所有系统的弹窗(例如 IAP 支付),然后向目标服务器发送了加密数据,目前还不知怎么解密发出去的请求。”

比方说,在中毒的应用 中进行一次 IAP(In-App Purchase,智能移动终端应用程序付费的模式)内购,比如网易云音乐中的 Taylor Swift 音乐包,此时输入的密码或者 Touch ID 后,就有加密数据发往目标服务器,现在不清楚加密信息是什么。因此,下载了中招应用的用户的密码都存在着泄露的危险。

所以,网易云音乐公告所说的“目前感染制作者的服务器已经关闭,不会再产生任何威胁”没有错,但是,之前已经有许多信息被发往了目标服务器了,网易等中招应用甩锅的话,不能无视这一致命的前提。

开发者和用户该怎么做

iOS 开发者周楷雯告诉爱范儿,作为开发者,首先检校自己的 Xcode 开发工具是否中招,一切从第三方网站或者下载工具下载的 Xcode 都要删除,包括通过用官方地址通过迅雷来下载的,立即使用直接从官方 App Store 下载的最新版 Xcode 也是必须要动作。iOS 开发者图拉鼎在微博上还称,有条件的公司应该在今天开始专门设置一台有专人管理的 Build Server,所有发布至 App Store 的 App 只能从该台电脑 Build 并发布,以防止未来此类事件的再现。

至于用户,目前能做的除了祈祷自己不要泄露敏感信息之外,第一时间做的肯定还是修改各种在 iOS 设备上使用过的密码,尤其是 iCloud 密码,并且开启两步验证,构筑密码之外的防火墙。

 

 

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中

在命运的塑料大棚里,每棵被喷了过多农药的白菜心中,都曾经有一个成为无公害有机蔬菜的梦想。

本篇来自栏目

解锁订阅模式,获得更多专属优质内容