虽然大家都在期待中秋假期的到来,不过让开发者挺闹心的一件事就是这几天网上、朋友圈以及各种群中炒得沸沸扬扬的“XcodeGhost”病毒事件,就连央视也惊动了!!
事件起源
事件起源于CNCERT发布的一篇《关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报》,声称开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。随后多位知名iOS开发者在社交网络上验证了这则信息的真实性。
为什么使用了带病毒的Xcode?
从开发者给出的消息,我们知道并不是苹果官方的Xcode出现了问题,而是由于一些开发者觉得通过苹果官方渠道下载Xcode的速度实在是太慢了,就从非官方渠道下载了Xcode,结果这些Xcode被人做过手脚的。开发者使用带有XcodeGhost病毒的Xcode编译应用程序,从而导致应用被注入了第三方的代码,主动向某网站(目前已经关闭)上传输应用和系统的基本信息。
有多少款应用程序中招,以及可能存在的影响
根据央视的统计,包括百度音乐、微信、滴滴打车、58同城、网易云音乐等多款知名应用在内的350余款App被感染。
影响:
在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器。上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。
黑客可以下发伪协议命令在受感染的iPhone中执行。黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。
黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口。
远程控制模块协议存在漏洞,可被中间人攻击。
不过,感染病毒的APP仅限于使用该Xcode的特定版本,并且不少应用程序已经更新了版本。比如网易云音乐、微信、滴滴打车等,所以开发者的当务之急是尽快更新应用版本,以免给用户带来不好的使用体验。
如何避免下载到带病毒的Xcode
为避免下载带有“XcodeGhost”病毒的Xcode版本,请开发者通过苹果官方渠道下载Xcode,同时应提高安全意识,注意开发工具、编译环境以及发布环境的安全性。
开发者补救措施
对于已经中招的APP,CocoaChina版主熊猫表示开发者可下载官方的Xcode,重新编译打包提交,并申请苹果加速审核。
如果开发者不确定此前使用带有“XcodeGhost”病毒的Xcode编译的版本是否被苹果发现,最好也使用官方渠道下载的Xcode重新编译提交审核,以免后期出现问题。如果不确定当前使用的Xcode是否带有“XcodeGhost”病毒,可参看《XcodeGhost事件全程回顾》一文
病毒作者致歉声明的可信性
在大家对病毒技术以及危害进行分析时,一个名为“XcodeGhost-Author”的ID在微博上发布了一则致歉声明,表示XcodeGhost是自己一次错误的实验行为,以后只是彻底死亡的代码而已。该代码所获取的信息包括应用名称、应用和系统版本号、语言、国家名、开发者符号、APP安装时间、设备名称以及设备类型,此外没有获得其他任何数据。
对于作者的陈述,有开发者表示通过逆向工程对比发现,作者的陈述基本可信,但也有不少人表示质疑。因为除了基本的信息收集外,还有可能利用服务器返回来构造模拟弹窗,要求用户输入一些重要信息,还能实现跳过 App Store安装未经审核的安装包,以及通过应用推广获取利益和推送全功能远程控制程序。关于XcodeGhost存在的危险,可参看《XcodeGhost 实际用途猜测分析》一文。
苹果的态度
对于开发者来说,带有“XcodeGhost”病毒的应用则可能导致应用被苹果下架,目前苹果已经着手清理被感染的应用程序。苹果发言人克里斯汀·莫纳汉(Christine Monaghan)在一封电子邮件中表示:“我们已经从App Store删除了这些基于伪造工具开发的应用。我们正在与开发者合作,确保他们使用合适版本的Xcode去重新开发应用。”
根据CocoaChina版主熊猫提供的信息,在检测出应用包含恶意代码后,苹果已经电话通知应用存在安全问题。
苹果平台的安全性
相比较其他平台的应用商店,苹果App Store的审核已经是非常严格了,但此次事件被中国反审查维权组织Greatfire.org称为是苹果应用商店历史上波及范围最广、最严重的恶意攻击事件。这无疑提醒苹果仍需提高安全意识,此外也提醒苹果更要注意提高开发工具的安全性。
