微信躺著也中槍,iOS 版本遭植入木馬

微信躺著也中槍,iOS 版本遭植入木馬

許多台灣人因為經商頻繁或朋友往來中國之故,在手機上安裝許多中國的手機應用程式或服務。除了 Android 平台手機品牌小米、華為等,通常許多台商最信賴的就是 Apple 的 iOS 裝置,如 iPhone 或 iPad 等。這樣的信賴是建立在 AppStore 審查的應用程式,通常保證了一定的穩定性與安全性。但在本週,這種信賴恐怕將產生了變化。

知名的開放資訊安全中文漏洞報告平台 Wooyun 在 9 月 17 日披露了部分 iOS Apps 可能存在安全性問題,這些 Apps 會在使用時自動向特定網站上傳資訊。這些 Apps 都是以受到第三方原始碼污染的 Apple 開發工具 Xcode 所編譯,因此編譯完成的 Apps 的包裝裡帶有(通常稱做被注入木馬)第三方放入的特定資訊。進而產生上述的安全問題。

 微信躺著也中槍,iOS 版本遭植入木馬

這個問題可能主要源自於中國境內目前的「實體網路管制」。雖然 Apple 的開發工具 Xcode 是幾近免費提供給所有的開發者,其要求 Apple 的開發者需要具備可以運作 Mac OSX 的電腦(也就是 Apple 的 PC 或 Notebook),如果要公開發佈 Apps,則需負擔每年約 3000 元新台幣的開發者帳號,但因許多中國開發者在連往位於美國的 Apple 伺服器下載 Xcode 時,會受到中國目前實體網路存在有俗稱為網路長城的過濾機制干擾,導致下載速度十分緩慢,甚至容易斷線。

這些開發者可能就會選擇其他開發者事前已經下載完畢,並儲存在中國境內流行的雲儲存服務,例如百度雲的網路空間上。這些轉向下載的行為讓木馬開發者有了動手腳的空間,將經過第三方原始碼污染的 Xcode 放在百度雲上,再透過中文的開發者論壇或微博的傳散,將有問題的開發者工具 Xcodeghost 散佈給中國眾多的 Apple 開發者,按照 Wooyun 知識庫所稱,這可能是在許多中文 iOS 論壇與微博中,網名 codefun 的個人或團體所為。

微信躺著也中槍,iOS 版本遭植入木馬
(圖說:這次的XcodeGhost事件,主要可能因為中國網路長城的管制造成開發者誤用了非官方的污染開發套件)

開發者使用 XcodeGhost 進行開發並編譯 apps 時,apps 會自動包含一段程式碼,取得 iPhone 或 Apps 的一些基本資料,包含時間、Apps名稱、Apps的bundle ID(Apps程式包ID)、Apps名稱、作業系統版本、手機型號、手機版本別、系統語言、國家等,並將上述這些欄位資料上傳至 init.icloud-analysis.com,這是放毒者所註冊用於蒐集上述資料的網址,目前該站與伺服器已經關閉,並且很難查出相關的註冊資訊。

這些蒐集資訊的行為對於 Apps 開發商來說是很正常的過程,因此 Apple 的 Appstore 在隱私權保護的範圍內並不會太過關心這樣的程式碼,也因此受到污染的 Xcodeghost 可以橫行一段時間。

為了避免在網路上下載相關的應用程式有被污染之嫌,一種常見的作法,是透過特定的演算法對下載完成的檔案演算出特定獨一無二的號碼,與網站所公布的進行校驗比對。但這樣仍有可能無法防止假冒或惡意散佈被污染過的程式橫行。

本次已經知道受到 XcodeGhost 所影響的 iOS 平台應用程式,主要包含台灣人常用的微信、名片全能王、滴滴出行(原滴滴打車,本月份升級改名)、12306(中國鐵道部票務應用程式)、掃描全能王(CamScanner)、微博相機、豆瓣閱讀、高德地圖、中國聯通手機營業廳、中信銀行動卡空間(大陸中信銀行客戶之行動銀行專用應用程式)等等。

微信團隊在其官方微博上面做出的公開聲明表示:「目前確認Xcodeghost所影響的問題存在於微信 iOS 6.2.5,建議使用者可以盡快透過升級微信應用程式修復。目前沒有發現這個問題造成用戶的直接影響,包含資訊或財產的直接損失,但微信團隊仍會持續關注和監測。」

 微信躺著也中槍,iOS 版本遭植入木馬

滴滴出行也在其官方微博發表聲明,表示團隊在第一時間得知就已經處理這個發生於 4.0 版本「滴滴出行」的問題:「已經在 9月 19日更新為 4.1.0 版,大家可以更新新版和放心使用。感染源的伺服器已經被關閉,不會再產生任何威脅」

根據資安廠商 Polo Alto Network 的整理,透過不同的網站報導或資訊安全公司測試,以下的 iOS 應用程式(不計遊戲類)已經確認受到污染,污染範圍可能會隨著測試增加逐漸擴大。

具稱是 XcodeGhost 的原始作者在微博上澄清表示,這個 XcodeGhost 其實是他自己的資訊安全技術實驗,他發現修改 Xcode 編譯設定腳本可以加上使用者自己指定的程式檔案,所以他寫下了這個程式測試,並上傳到自己的網路空間上。他表示,除了上述的基本應用程式資訊外,他另外在程式裡加入了網路廣告的功能,希望將來可以推廣自己的應用程式,但他實際上並未使用過廣告功能,且已經刪除所有數據,希望不會對任何人有任何影響。隨後,作者並將其本次實驗所有的程式碼公布在 Github 上

後續補充:

蘋果表示目前已經刪除了那些受感染的iOS APP。

蘋果發言人Christine Monaghan表示:「我們已經從 App Store 刪除了這些基於偽造工具開發的應用程式,並且正在與開發者溝通,以確保他們使用正確版本的 Xcode 重新開發應用程式。」

 

 

數位時代
作者

《數位時代》,關注國內外網路創業生態,精選全球科技業的重要趨勢、創新模式和最新動態,並有記者第一現場的報導,以及各類社群活動消息。希望能協助讀者早一步領略趨勢脈動、領先掌握下一步行動的競爭優勢。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則