XcodeGhost 事件:全行业震惊安全任重道远!开发者微博道歉

文/游戏陀螺 boq

9月18日晚,国内著名漏洞报告平台乌云网曝出一条消息,称有病毒开发者在给苹果手机的开发工具Xcode内写入了一些病毒代码,导致用这个开发工具生成的移动App都会自动在手机端收集用户使用的应用、国别、系统版本、语言、国家,等信息,并上传到病毒使用者所拥有的网站内。中招者包括但不限于:微信、网易云音乐、12306、滴滴、高德、下厨房、同花顺等。该「病毒」开发工具最终被命名为 XcodeGhost。

App Store自2008年来遭受的最大规模攻击

据某程序开发人士称,这应当是App Store 2008年上线以来遭受的规模最大的攻击,涉及应用之广已经完全超过想象,若非发现及时,此病毒再增加更丰富的机能(如对密码输入框进行hook等)之后,可能成为中国历史甚至世界历史上涉案金额最高的黑客事件之一。不少业内人士表示要尽快修改 Apple ID 的相关密码,尽量更新所有应用到最新版本。

盘古开发检测工具:已检测超800个不同版本的应用感染

XcodeGhost病毒引发iOS开发者及用户恐慌,已知有多款知名应用被感染。针对此,国内知名越狱及移动互联网安全研究团队盘古,紧急开发了一款病毒检测工具,该工具已经检测到超过800个不同版本的应用感染了XcodeGhost病毒,更多的应用仍在检测中。而盘古团队表示,因为时间比较短, 目前不支持iOS7的用户,会很快发布兼容iOS 7的版本。

感染主要是从非苹果官方渠道下载

腾讯安全应急响应中心发文表示,原来开发人员的xcode安装包中,被别有用心的人植入了远程控制模块,通过修改xcode编译参数,将这个恶意模块自动的部署到任何通过xcode编译的苹果APP(iOS/Mac)中。罪魁祸首是开发人员从非苹果官方渠道下载xcode开发环境。

猎豹移动安全专家李铁军称,“黑产”希望通过收集用户信息,以便广告投放,后者存在利益空间。由于苹果限制比较多、审查比较严格, 常用模式无法运行,因此只能从开发环节突破。尽管是有限的个人信息,但仍然有商业价值。所谓黑产,就是指靠收集个人信息,出售个人信息牟利的一群人。腾讯安全应急响应中心在分析过程中发现,异常流量APP都是大公司的知名产品,也是都是从AppStore下载并具有官方的数字签名,因此并不存在APP被恶意篡改的可能。随后他们把精力集中到开发人员和相关编译环境中。

主要涉及大公司知名应用、金融类应用

有不少人称,未来只敢下载官方安装包,还要进行MD5和SHA1双校验。据了解,AppStore下载量最高的5000个APP中有76款APP被XCodeGhost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这次事件影响的用户数超过一亿。而截止目前,包括微信、网易云音乐在内的多家应用开发商已发布公告,均称此次感染已被解决,不会再产生任何问题。但依然止不住 iOS 们被吓出的一身冷汗。

后续:XcodeGhost开发者微博发文称其在做实验事件,不构成威胁

而在今天凌晨4:40分,该事件的始作俑者以@XcodeGhost-Author的身份在新浪微博贴出致歉声明,称其只是一个实验性项目,并没有任何包含威胁性的行为。并公开了源码,从源码看可信度较高。微博全文如下:

首先,我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验,没有任何威胁性行为,详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost

所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现:修改Xcode编译配置文本可以加载指定的代码文件,于是我写下上述附件中的代码去尝试,并上传到自己的网盘中。

在代码中获取的全部数据实际为基本的app信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类 型。除此之外,没有获取任何其他数据。需要郑重说明的是:出于私心,我在代码加入了广告功能,希望将来可以推广自己的应用(有心人可以比对附件源代码做校 验)。但实际上,从开始到最终关闭服务器,我并未使用过广告功能。而在10天前,我已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。

愿谣言止于真相,所谓的"XcodeGhost",以前是一次错误的实验,以后只是彻底死亡的代码而已。

需要强调的是,XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。

再次真诚的致歉,愿大家周末愉快!

(0)

相关推荐