2015.09.19 11:53

危險!「網易雲音樂」等多款中國 iOS App 爆Xcode 嚴重木馬危機,在上架前就被植入

ADVERTISEMENT

我們的印象中,蘋果的 Mac 和 iOS 裝置一向都比較安全,反倒是 Windows 裝置和 Android 裝置在安全問題上被詬病頗多。但是,這種印象近年來已經漸漸被破功,而在中國,這兩天 iOS 的開發者面臨了可能是從有iOS以來最嚴峻的考驗。

危機來自 Xcode 開發工具

Xcode 是在作業系統 Mac OS X 上的開發工具(IDE),由蘋果公司開發,是開發 OS X 和 iOS 應用程式的最快捷最普遍的方式。許多iOS 開發者都會採用這個開發工具,然而根據安全人員研究,在中國的開發者使用的Xcode 大多被駭客植入了惡意程式的程式碼,透過這個「開發工具」所開發出來的App,會向一個網站(http://init.icloud-analysis.com)上傳使用者資料,這個網站是病毒作者用來收集使用者資料的,而這個潛在了極大危害的病毒名叫 XcodeGhost。

根據安全網站 Wooyun 的披露,即使把蘋果官網上的下載 URL 複製到迅雷裡下載,最終下載到的還是一個有毒的協力廠商 Xcode 開發工具,同理,另外從百度網盤上下載的 Xcode 編譯器也中招了,目前來看,除了從蘋果官方直接下載之外,任何協力廠商來源,甚至協力廠商下載管道的 Xcode 工具都不能保證安全。

ADVERTISEMENT

問題是,Xcode是一款免費的開發工具,為什麼中國開發者不直接從App Store下載官方Xcode?

歸根結底的原因恐怕還是中國的網路長城政策,中國使用者使用App Store連線速度太慢,許多程式師為了提高效率,方便下載,會直接從各大論壇和網盤上找其他的下載資源,這就給了一些駭客提供了作案的機會。

ADVERTISEMENT

XCodeGhost的作用

雖然 XCodeGhost 並沒有非常嚴重的惡意行為,但是這種病毒傳播方式在 iOS 上還是首次。也許這只是病毒作者的首次嘗試而已,可能隨後還會有更大的動作,請開發者務必要小心。

並且,在後續的追蹤中,發現 http://init.icloud-analysis.com 這個網站的伺服器已經關閉,也挖掘不到太多資訊,目前也還找不到這個病毒作者的痕跡。

ADVERTISEMENT

哪些App中招了?

直接列表:

  • 開眼 1.8.0
  • 聯通手機營業廳 3.2
  • 媽媽圈 5.3.0
  • 南方航空 2.6.5.0730 – 2.6.5
  • 南京銀行 3.6 – 3.0.4
  • 逆轉三國 5.80.5 – 5.80
  • 窮遊 6.4.1
  • 窮遊 6.4.1 – 6.4
  • 三國名將 4.5.0.1 – 4.5.1
  • 天使房貸 5.3.0.2 – 5.3.0
  • 天涯社區 5.1.0
  • 鐵路 12306 2.1
  • 同花順 9.60.01
  • 同花順 9.26.03
  • 圖釘 7.7.2
  • 網易公開課 4.2.8
  • 網易雲音樂 2.8.3
  • 網易雲音樂 2.8.1
  • 微信 6.2.5
  • 我叫 MT 4.6.2
  • 我叫 MT2 1.8.5
  • 下廚房 4.3.2
  • 下廚房 4.3.1
  • 造夢西遊 OL 4.6.0
  • 診療助手 7.2.3
  • 自由之戰 1.0.9
  • 卷皮 3.3.1
  • 簡書 2.9.1
  • 股票雷達 5.6.1 – 5.6
  • 高德地圖 7.3.8.1040 – 7.3.8
  • 高德地圖 7.3.8.2037
  • 夫妻床頭話 2.0.1
  • 動卡空間 3.4.4.1 – 3.4.4
  • 電話歸屬地助手 3.6.3
  • 滴滴打車 3.9.7.1 – 3.9.7
  • 滴滴出行 4.0.0
  • 炒股公開課 3.10.02 – 3.10.01
  • 百度音樂 5.2.7.3 – 5.2.7
  • YaYa 藥師 1.1.1
  • YaYa 6.4.3 – 6.4
  • WO + 創富 2.0.6 – 2.0.4
  • WallpaperFlip 1.8
  • VGO 視信 1.6.0
  • UME 電影票 2.9.4
  • UA 電影票 2.9.2
  • Theme 2.4 – 2.4
  • Theme 2.4.2 – 2.4
  • Phone+ 3.3.6
  • Perfect365 4.6.16
  • OPlayer Lite 21051 – 2105
  • MTP 管理微學 1.0.0 – 2.0.1
  • Mail Attach 2.3.2 – 2.3
  • Jewels Quest 2 3.39
  • How Old Do I Look? How Old Am I? -Face Age Camera 3.6.7
  • H3C 易查通 2.3 – 2.2
  • Digit God 2.0.4 – 2.0
  • Cute CUT 1.7
  • CarrotFantasy 1.7.0.1 – 1.7.0
  • CamCard 6.3.2.9095 – 6.3.2
  • Albums 2.9.2
  • AA 記帳 1.8.7 – 1.8
  • 51 卡保險箱 5.0.1
  • 2345 流覽器 4.0.1

上述是目前已經確定的名單,按照這個態勢,後續中招的 iOS 應用極有可能(實際上應該是一定會)繼續擴大。並且這個名單中還有很多金融股票相關的,潛在危害難以估量。

在 XcodeGhost 病毒被曝光後,被確認中招的網易雲音樂馬上發佈公告:「這次感染設計資訊皆為產品的系統資訊,無法調取和洩露使用者的個人資訊。目前感染製作者的伺服器已經關閉,不會再產生任何威脅。」

ADVERTISEMENT

但是事實真的如此嗎?

實際危害在哪裡?

一開始的時候,關注此事的 iOS 開發者表示這個事情的危害並不大,在隱私問題多多的現今,這種程度的洩露算不得什麼。但是!在仔細研究下去之後,這些人收回了前面的言論。

四葉新媒體聯合創始人,:

「拿資料看了一下,這個木馬劫持了所有系統的彈出視窗(例如 IAP 支付),然後向目標伺服器發送了加密資料,目前還不知怎麼解密發出去的請求。」

比方說,在中毒的App 中進行一次 IAP(In-App Purchase,智慧移動終端應用程式付費的模式)內購,比如網易雲音樂中的 Taylor Swift 音樂包,此時輸入的密碼或者 Touch ID 後,就有加密資料發往目標伺服器,現在不清楚加密資訊是什麼。因此,下載了中毒App的使用者的密碼都存在著洩露的危險。

所以,網易雲音樂公告所說的「目前感染製作者的伺服器已經關閉,不會再產生任何威脅」沒有錯,但是,之前已經有許多資訊被發往了目標伺服器了,不能無視這一致命的前提。

台灣的使用者有危險嗎?

雖然說中國的App開發對我們的影響不大,台灣的App開發者應該也不會捨近求遠,跑去其他來路不明的地方下載Xcode 開發工具,因此對我們來說應該沒有影響。

不過,在台灣的App Store上面也有很多是來自中國開發者開發的App,這些就有可能是用了受感染的開發工具所開發的App了,畢竟這些開發者不可能為了不同地區發行而選用另一套工具來開發。因此看到一些中國品牌的App,建議你還是該小心,如果你已經用過上述被證明已感染的App,目前能做的除了祈禱自己不要洩露敏感資訊之外,第一時間做的肯定還是修改各種在 iOS 設備上使用過的密碼,尤其是 iCloud 密碼,並且開啟兩步驗證,構築密碼之外的防火牆。

 

ADVERTISEMENT