上周末，多家安全企業(yè)都曝光了一起名為“XcodeGhost”的安全事件，病毒制造者通過(guò)感染蘋(píng)果應用的開(kāi)發(fā)工具Xcode，讓AppStore中的正版應用帶上了會(huì )上傳信息的惡意程序。據估算，受到影響的用戶(hù)數量會(huì )超過(guò)一億。這一事件的爆發(fā)，也打破了原本被認為安全性很高的蘋(píng)果iOS系統的金身。360公司表示，目前已經(jīng)通過(guò)技術(shù)手段基本鎖定病毒制造者的身份，并且已經(jīng)報警。

1 事件

300多熱門(mén)App感染惡意程序

近日，多款知名社交、地圖、出行App的iPhone版被爆出有“惡意代碼”。此次的“XcodeGhost”事件之所以熱度極高，很重要的一個(gè)原因是受到影響的用戶(hù)數量極多。

事件曝光后，多家移動(dòng)安全企業(yè)都公布了各自檢測出受波及的App名單，其中360涅槃團隊公布的受影響App數量最多。涅槃團隊稱(chēng)，通過(guò)對14.5萬(wàn)App的掃描，發(fā)現有344款App都感染了惡意程序，其中不乏微信、12306、高德地圖、滴滴打車(chē)等熱門(mén)App。據“騰訊安全應急響應中心”發(fā)布的報告，保守估計，受這次事件影響的用戶(hù)數超過(guò)1億。這可能是蘋(píng)果AppStore上線(xiàn)以來(lái)，涉及用戶(hù)數最多的一起安全事件。

目前，微信、高德地圖、滴滴打車(chē)、網(wǎng)易云音樂(lè )等一些知名App，都對外承認受到了“XcodeGhost”事件影響，不過(guò)同時(shí)這些公司在聲明中也都表示，這一事件不會(huì )對用戶(hù)的信息安全造成威脅，并且已經(jīng)發(fā)布了修復惡意程序的新版本應用，用戶(hù)自行升級就可以解決。例如，微信團隊在公開(kāi)聲明中就表示，“該問(wèn)題僅存在iOS6.2.5版本中，最新版本微信已經(jīng)解決此問(wèn)題，用戶(hù)可升級微信自行修復，此問(wèn)題不會(huì )給用戶(hù)造成直接影響。目前尚沒(méi)有發(fā)現用戶(hù)會(huì )因此造成信息或者財產(chǎn)的直接損失，但是微信團隊將持續關(guān)注和監測。”

當然，在為數眾多的App中，公開(kāi)信息的畢竟還是少數。360安全實(shí)驗室負責人林偉表示，有些小應用的開(kāi)發(fā)團隊可能還沒(méi)有及時(shí)對應用進(jìn)行升級，甚至不排除有的開(kāi)發(fā)者還不知道自己的應用中槍了。“我們也在盡可能發(fā)現并且通知用戶(hù)和開(kāi)發(fā)者。”林偉表示。

木馬代碼嵌入開(kāi)發(fā)工具源頭

在安卓平臺上，各種安全問(wèn)題的爆發(fā)對于用戶(hù)來(lái)說(shuō)已經(jīng)習以為常了，而蘋(píng)果的iOS系統一直被認為相當安全，因為蘋(píng)果對于其中的App有著(zhù)嚴格的安全審核機制。不過(guò)這一次，對自己手機安全沒(méi)怎么操過(guò)心的蘋(píng)果用戶(hù)也有些傻眼了，“從蘋(píng)果官方下載的App怎么也中毒了?”手機裸奔的感覺(jué)，也讓很多iPhone用戶(hù)感到了惶恐。

“這已經(jīng)注定成為移動(dòng)安全史上標示性的事件。”有移動(dòng)安全方面的人士這樣評價(jià)，這可以說(shuō)是迄今為止手機行業(yè)最大的一次安全事件，過(guò)億受影響的用戶(hù)確實(shí)讓人感到不寒而栗。

另外，這種黑客直接把木馬代碼嵌入了iOS開(kāi)發(fā)工具源頭的攻擊方式在國內尚屬首次，而一旦這扇門(mén)開(kāi)了，帶來(lái)的風(fēng)險是不言而喻的，類(lèi)似的攻擊方式也會(huì )引發(fā)更多黑色產(chǎn)業(yè)鏈的效仿。

據盤(pán)古越獄團隊的創(chuàng )始人韓爭光介紹，實(shí)際上這種從源頭上進(jìn)行污染的黑客手段，很早之前就有人提出過(guò)，UNIX之父KenThompson在一次演講中就做過(guò)類(lèi)似的假設，斯諾登曝光的材料里也提到過(guò)Xcode污染的案例。只不過(guò)這一次是這種情況的首次大規模傳播，與某些特別目的的手段不相同。

林偉則表示，蘋(píng)果是不允許用戶(hù)使用第三方安全軟件的，之前大家可能覺(jué)得這沒(méi)什么，但此次事件之后能看出，安全企業(yè)提供的保護方案要比手機廠(chǎng)商自己做的要更專(zhuān)業(yè)。他認為，最理想的情況就是蘋(píng)果向第三方安全軟件開(kāi)發(fā)iOS系統，讓不越獄的iPhone用戶(hù)也能接受到更加專(zhuān)業(yè)可靠的安全保護。

蘋(píng)果已經(jīng)向受影響應用開(kāi)發(fā)者發(fā)出應用下架通知，要求開(kāi)發(fā)者從正規渠道下載Xcode程序，重新編寫(xiě)應用程序再上傳。

2 進(jìn)展

病毒制造者身份已被鎖定

就在事件爆發(fā)后，自稱(chēng)是“XcodeGhost”始作俑者的新浪微博用戶(hù)@XcodeGhost-Author在網(wǎng)上發(fā)了一封道歉信。他稱(chēng)，XcodeGhost源于他自己進(jìn)行的一項實(shí)驗，獲取的全部數據實(shí)際為基本的App信息：應用名、應用版本號、系統版本號、語(yǔ)言、國家名、開(kāi)發(fā)者符號、App安裝時(shí)間、設備名稱(chēng)、設備類(lèi)型，除此之外，沒(méi)有獲取任何其他數據。他也承認，出于私心，在代碼加入了廣告功能，希望將來(lái)可以推廣自己的應用，但從開(kāi)始到最終關(guān)閉服務(wù)器，并未使用過(guò)廣告功能。而在10天前，他已主動(dòng)關(guān)閉服務(wù)器，并刪除所有數據，更不會(huì )對任何人有任何影響。“XcodeGhost不會(huì )影響任何App的使用，更不會(huì )獲取隱私數據，僅僅是一段已經(jīng)死亡的代碼。”這個(gè)給無(wú)數人帶來(lái)大麻煩的人這樣說(shuō)道。

不過(guò)，這種輕描淡寫(xiě)遭到了很多安全行業(yè)從業(yè)者的質(zhì)疑。林偉就表示，360團隊對其行為的追蹤發(fā)現，在半年之前，就有人開(kāi)始在大量的iOS開(kāi)發(fā)論壇上散布Xcode的下載鏈接，甚至還有人入侵了某論壇版主的ID來(lái)修改下載鏈接，而這些下載鏈接全部指向了同一份網(wǎng)盤(pán)文件，如此大規模的舉動(dòng)，做實(shí)驗的說(shuō)法根本解釋不通。也有網(wǎng)絡(luò )工程師在微博上算了一筆賬，這種對用戶(hù)信息的收集，僅僅是使用海外服務(wù)器的成本每月就要四五十萬(wàn)美元。“這僅僅是個(gè)苦×開(kāi)發(fā)者的個(gè)人實(shí)驗?”

韓爭光也認為，進(jìn)行這種黑客行為對制造者的技術(shù)水平要求很高，絕非一般人能夠所為，而且從其一系列行為來(lái)看，不大可能是一個(gè)人做出來(lái)的，應該是有一個(gè)團隊在操盤(pán)，背后很可能是和黑產(chǎn)產(chǎn)業(yè)鏈有關(guān)系。

360公司對記者表示，目前已經(jīng)通過(guò)技術(shù)手段基本鎖定了病毒制造者的身份，并且已經(jīng)報警，正在配合警方進(jìn)行調查。不過(guò)360相關(guān)人士表示，在警方結案前還不能公布關(guān)于病毒制造者身份的更多細節。從記者在多個(gè)渠道獲得的信息來(lái)看，病毒制造者并非一個(gè)人，其中一名主要成員曾是國內某名校的保送研究生，不過(guò)已經(jīng)退學(xué)。

3 建議

用戶(hù)應定期修改密碼

不管黑客是怎么得手的，對于普通用戶(hù)來(lái)說(shuō)，最重要也是最關(guān)心的事只有一個(gè)，那就是自己的手機究竟安不安全?“微信、滴滴打車(chē)、12306，這些應用我都裝了，還做過(guò)支付，會(huì )不會(huì )有風(fēng)險?綁定的信用卡會(huì )不會(huì )被盜刷?”很多用戶(hù)急切想知道答案。

從上述“病毒開(kāi)發(fā)者”回應來(lái)看，“XcodeGhost”收集的數據確實(shí)不涉及太敏感和關(guān)鍵的信息，目前尚無(wú)證據證實(shí)“XcodeGhost”有利用收集用戶(hù)信息違法獲利的行為，也沒(méi)有收到用戶(hù)損失方面的報告。從這個(gè)方面來(lái)說(shuō)，即便安裝了受影響的App，iPhone用戶(hù)也不必過(guò)于緊張。

不過(guò)，韓爭光認為，雖然現在看不到這個(gè)惡意程序造成了什么損失，但這個(gè)惡意程序是可以帶來(lái)很多更嚴重威脅的。就像一個(gè)高明的竊賊撬開(kāi)了嚴密的防盜門(mén)，進(jìn)到一個(gè)人家，這一次只是留下了幾張“小廣告”就走了，但是他將來(lái)是有能力進(jìn)到家中把財物席卷一空的，“也有可能家中失竊了，但是房主還沒(méi)有發(fā)現。”

韓爭光建議，手機中安裝了受到影響的App的用戶(hù)，如果是常用的應用，就暫停使用，等開(kāi)發(fā)者發(fā)布新的版本更新后再使用;如果是不常用的應用，可以直接卸載。他同時(shí)還建議，雖然目前沒(méi)有看到造成損失的案例，但確實(shí)存在泄露個(gè)人關(guān)鍵信息的風(fēng)險，還是建議用戶(hù)修改一下手機中的重要密碼。無(wú)論有沒(méi)有安全事件，定期修改密碼都是一個(gè)良好的習慣。

開(kāi)發(fā)者應確保開(kāi)發(fā)環(huán)境安全

這一次的“XcodeGhost”事件和以往的安全事件很大的不同在于用戶(hù)其實(shí)開(kāi)始是無(wú)從防范的，蘋(píng)果應用的開(kāi)發(fā)者成為了病毒傳播鏈條上很關(guān)鍵的一環(huán)。雖然病毒制造者污染了Xcode工具，但如果開(kāi)發(fā)者都從正規渠道下載這一工具，也不會(huì )造成現在的局面。

有iOS開(kāi)發(fā)者表示，從其他渠道下載Xcode而不是從蘋(píng)果官方渠道下載，其實(shí)是業(yè)內很普遍的行為，因為官方下載渠道速度太慢，很多程序員為了節省時(shí)間往往直接使用國內的下載工具下載，這就給了“XcodeGhost”病毒可乘之機。

獵豹移動(dòng)表示，這件事給程序員敲響了警鐘：要安全，首先得保證自己的開(kāi)發(fā)工具安全。程序員被黑客暗算的事曾經(jīng)多次發(fā)生，無(wú)論如何，建議使用正版、未被非法篡改過(guò)的開(kāi)發(fā)工具編寫(xiě)程序，避免用戶(hù)成為受害者;其次，編譯環(huán)境、發(fā)布環(huán)境的安全值得注意，編譯服務(wù)器和自動(dòng)發(fā)布服務(wù)器，應保持干凈的環(huán)境，不要隨意安裝來(lái)源不明的可疑軟件。

安全行業(yè)業(yè)內人士表示，這一次的事件給蘋(píng)果在安全機制上敲響了警鐘，讓蘋(píng)果注意到自身安全機制存在的漏洞，相信蘋(píng)果會(huì )修補這次安全事件造成的影響，在安全審查上變得更加嚴格。

京華時(shí)報記者 古曉宇