蘋果的Xcode開發(fā)工具被李鬼篡改編譯后造成了也許是IOS歷史上最嚴重的一次病毒危機

由于蘋果官方開發(fā)工具下載的繁瑣不少軟件開發(fā)者都會通過第三方途徑而非蘋果官方下載Xcode但如果不幸運的話開發(fā)者也許會碰上一個所謂的盜版更糟糕的是這個盜版還存在著潛在的病毒而在一周前中國的很多開發(fā)者甚至是知名APP軟件均受到了病毒入侵

9月19日騰訊安全應急響應中心發(fā)布信息稱12日在跟進一個bug時發(fā)現(xiàn)有App在啟動退出時會通過網(wǎng)絡(luò)向某個域名發(fā)送異常的加密流量經(jīng)過一個周末加班的分析和追查基本還原了感染方式病毒行為影響面

而在昨日晚間9:43分微信官方微博發(fā)布聲明表示網(wǎng)上傳播微信6.2.5版本存在嚴重漏洞目前最新版本微信已經(jīng)解決此問題用戶可升級微信自行修復目前尚沒有發(fā)現(xiàn)用戶會因此造成信息或者財產(chǎn)的直接損失但是微信將持續(xù)關(guān)注和監(jiān)測

已有六十多款應用中招

目前嚴重的危害無法確認因為服務下線了但是建議用戶修改密碼360網(wǎng)絡(luò)攻防實驗室負責人陸羽對第一財經(jīng)客戶端表示目前"XcodeGhost"病毒已經(jīng)感染了眾多常用APP

拿文件看了一下這個木馬劫持了所有系統(tǒng)的彈窗例如IAP支付然后向目標服務器發(fā)送了加密數(shù)據(jù)目前還不知怎么解密發(fā)出去的請求比方說在中毒的應用中進行一次IAPIn-AppPurchase智能移動終端應用程序付費的模式內(nèi)購比如網(wǎng)易云音樂中的TaylorSwift音樂包此時輸入的密碼或者TouchID后就有加密數(shù)據(jù)發(fā)往目標服務器現(xiàn)在不清楚加密信息是什么因此下載了中招應用的用戶的密碼都存在著泄露的危險四葉新媒體聯(lián)合創(chuàng)始人微博用戶Saic稱

早在9月14日國家互聯(lián)網(wǎng)應急中心CNCERT就已發(fā)布相關(guān)預警通報

而目前中招的APP應用仍在不斷擴大中按照版本號定位的百度音樂5.2.7.3–5.2.7窮游6.4.1–6.4南方航空2.6.5.0730–2.6.5天涯社區(qū)2.1微信6.2.5等等應用均有涉及

微信技術(shù)團隊具備成熟的反黑客技術(shù)一旦發(fā)現(xiàn)黑客攻擊將第一時間做出技術(shù)對抗并及時鎖定黑客具體信息配合公安機關(guān)打擊相關(guān)違法犯罪活動微信指出

網(wǎng)易云音樂則公告稱目前感染制作者的服務器已經(jīng)關(guān)閉不會再產(chǎn)生任何威脅

誰制造了病毒?

據(jù)了解Xcode是運行在操作系統(tǒng)MacOSX上的集成開發(fā)工具IDE由蘋果公司開發(fā)是開發(fā)OSX和iOS應用程序的最快捷最普遍的方式

但在下載時如果不是通過官方途徑很容易下載到盜版的Xcode而這個盜版的Xcode則會向一個網(wǎng)站http://init.icloud-analysis.com上傳用戶數(shù)據(jù)這個網(wǎng)站是病毒作者用來收集用戶數(shù)據(jù)的存在著潛在病毒名叫XcodeGhost

有開發(fā)者在安全網(wǎng)站W(wǎng)ooyun上撰文稱即使把蘋果官網(wǎng)上的下載URL復制到迅雷里下載最終下載到的還是一個有毒的第三方Xcode開發(fā)工具同理另外從百度網(wǎng)盤上下載的Xcode編譯器也中招了目前來看除了從蘋果官方直接下載之外任何第三方來源甚至第三方下載渠道的Xcode工具都不能保證安全

而在今天凌晨4:40分一位自稱是病毒制造者的人以@XcodeGhost-Author身份出現(xiàn)在微博上發(fā)表致歉以及澄清聲明表示XcodeGhost源于個人實驗沒有任何威脅性行為并公開了源碼

該人士表示所謂的XcodeGhost實際是苦逼iOS開發(fā)者的一次意外發(fā)現(xiàn)修改Xcode編譯配置文本可以加載指定的代碼文件于是寫下上述附件中的代碼去嘗試并上傳到自己的網(wǎng)盤中在代碼中獲取的全部數(shù)據(jù)實際為基本的app信息應用名應用版本號系統(tǒng)版本號語言國家名開發(fā)者符號app安裝時間設(shè)備名稱設(shè)備類型除此之外沒有獲取任何其他數(shù)據(jù)

需要鄭重說明的是出于私心我在代碼加入了廣告功能希望將來可以推廣自己的應用但實際上從開始到最終關(guān)閉服務器我并未使用過廣告功能而在10天前我已主動關(guān)閉服務器并刪除所有數(shù)據(jù)更不會對任何人有任何影響上述人士表示所謂的"XcodeGhost"以前是一次錯誤的實驗不會影響任何App的使用更不會獲取隱私數(shù)據(jù)僅僅是一段已經(jīng)死亡的代碼

陸羽對記者表示因為該網(wǎng)站域名注冊早在2015年2月25日長期續(xù)一系列的隱藏和變換身份的操作可能說明病毒制造者的行為是蓄意的

沒有絕對安全

事實上這已經(jīng)不是蘋果產(chǎn)品第一次涉及安全事件iOS此前曾被曝涉及多個秘密后門

去年9月1日眾多美國大腕女星像詹妮弗勞倫斯凱特厄本愛莉安娜格蘭德以及維多利亞嘉絲蒂等人的裸照接連曝光有消息稱原因是有黑客攻擊了多個iCloud賬號所致目前仍不清楚黑客如何侵入iCloud存儲服務獲取勞倫斯厄本以及其他名人的不雅照片但iCloud的安全性遭到了輿論的廣泛質(zhì)疑而就在同年8月中旬蘋果還針對中國用戶的數(shù)據(jù)從國外轉(zhuǎn)存至中國電信云存儲發(fā)表聲明稱云端服務商要加強數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護及時修補漏洞防止黑客入侵和撞庫等盜號攻擊

從收益來看安全投入并不直接產(chǎn)生效益一般手機廠商說要建數(shù)據(jù)中心沒有上千萬很難達成比如500臺服務器1臺5萬就是2500萬的成本還有這個數(shù)據(jù)中心帶來的帶寬費用以及流量等都是要考慮的因素酷派負責安全業(yè)務的相關(guān)負責人對記者表示

事實上在大數(shù)據(jù)時代保護自己的隱私并不容易黑客只要愿意可能會攻破任何他想攻破的東西只是時間問題上述酷派負責人認為數(shù)據(jù)到云端的傳輸過程密碼傳到服務器的過程以及云端存儲的過程都有可能遭受到黑客的入侵