猿题库的 iOS 开发工程师在 9 月 17 日上午 9 点发了一篇微博,微博中描述了他的一位朋友在非官方渠道下载的 Xcode(苹果软件开发工具)居然自带病毒文件,造成的结果是,通过 Xcode 编译出来的 app 会被注入不知名的第三方代码,并且向陌生网站发送数据。
哪些APP受到了影响?
网易云音乐
网易公开课
12306移动端
中信银行动卡空间
下厨房
中国联通手机营业厅
中国联通的手机营业厅
高德地图
简书
豌豆荚开眼
滴滴出行
51卡保险箱
同花顺
中信银行动卡空间
对用户有什么影响?
目前来看,在 Xcode 中莫名加入的这段代码并没有什么恶意,只是收集部分数据,但是不得不防的是,未来很可能出现更加带有攻击性的病毒注入 Xcode,那么对于用户手机安全,这其中存在巨大的隐患。
XcodeGhost 创新在哪?
与以往的病毒嵌入思路不同,XcodeGhost 直接把病毒代码嵌入了开发工具源头,这种另类的传播方式直接让其在初期的传播广度上获得了非常好的效果,网易云音乐等热度 APP 中弹就是很好的证明。
为什么要从第三方下载 Xcode?
归根结底的原因还是在于国内 App Store 连接速度太慢,许多程序员为了提高效率,方便下载,会直接从各大论坛和网盘上找第三方资源,这就给一些不良少年提供了作案机会的可能性。
始作俑者是谁?
目前乌云网的部分代码专家查到代码传送信息指向到一个网址为: http://init.icloud-analysis.com的假冒网站(冒充苹果官网),目前该网站已经关闭。
有用户举报始作俑者的网名为「coderfun」,主要以各类 iOS 开发论坛和微博留言区为据点,提供带有病毒版本的 Xcode 网盘下载地址,其中包括了从 Xcode6.1-Xcode6.4 的所有版本,目前其真身不得人知。
分析人士指出,病毒作者是个老手,并且非常小心,在代码和服务器上都没有留下什么痕迹,所以不排除以后还会继续作案的可能。
目前XcodeGhost还没有非常严重的恶意行为,但是这种病毒传播方式在iOS上还是首次。
为什么影响巨大?
根据国外网站paloalto的分析,coderfun 所释放的Xcode dmg文件先是被广泛发布到了Douban, SwiftMi, CocoaChina, OSChina这几个论坛网站,然后又再百度云出现了大量下载文件。
不仅如此,还成功感染了迅雷的离线服务器,也就是说,你常用下载软件是迅雷的话,输入官网的地址下载下来的 dmg 仍然有可能是被修改过的。
在这我们不得不佩服这个骇客四两拨千斤的能力。
该如何应对?
目前的许多网友提供了一些针对性的解决方案:
1. 从官方渠道下载 Xcode
2. 程序员开发应该更加严谨的使用经过校检的 Xcode 开发工具
3. 苹果改善官方 APP Store 连接速度
4. 官方 APP Store 改进 APP 审核机制
进展
网易云音乐已经针对此事发出公告
网友评价
@Alamo aka 狐狸:关于第三方渠道下载 Xcode 夹杂私货的问题,我有两句话要说,第一句是:「苹果公司 App 审核制度过分官僚,如同地铁安检,形同虚设。」第二句是:「你的 xcode.dmg 已经签收,签收人:草签」
@bちゃん:针对编译器的病毒这种东西,我在一本很老旧的计算机病毒防护教材上看到过,也知道有个 tcc 注入 login su 的后门的说法,以为这种病毒费时费力,估计现在没什么人这么搞了。没想到还真有人干了这种事情,还是对 Xcode,真是何等丧病。我都开始怀疑是不是国内某些公司的所为了……
@Belleve:这是个处心积虑、策划多年的骗局,其手法之高明,说明攻击者要么是经验丰富的老道黑客,要么就是有专业的黑产公司。不同于年初时候那些依靠力量的攻击,这个骇客成功地实现了四两拨千斤,用最少的资源获取到了最多的隐私资料,而且过了甚久才被察觉。
这次的攻击绝对可以载入史册,绝对的。