我們的印象中,蘋果的 Mac 和 iOS 裝置一向都比較安全,反倒是 Windows 裝置和 Android 裝置在安全問題上被詬病頗多。但是,這種印象近年來已經漸漸被破功,而在中國,這兩天 iOS 的開發者面臨了可能是從有iOS以來最嚴峻的考驗。
危機來自 Xcode 開發工具
Xcode 是在作業系統 Mac OS X 上的開發工具(IDE),由蘋果公司開發,是開發 OS X 和 iOS 應用程式的最快捷最普遍的方式。許多iOS 開發者都會採用這個開發工具,然而根據安全人員研究,在中國的開發者使用的Xcode 大多被駭客植入了惡意程式的程式碼,透過這個「開發工具」所開發出來的App,會向一個網站(http://init.icloud-analysis.com)上傳使用者資料,這個網站是病毒作者用來收集使用者資料的,而這個潛在了極大危害的病毒名叫 XcodeGhost。
根據安全網站 Wooyun 的披露,即使把蘋果官網上的下載 URL 複製到迅雷裡下載,最終下載到的還是一個有毒的協力廠商 Xcode 開發工具,同理,另外從百度網盤上下載的 Xcode 編譯器也中招了,目前來看,除了從蘋果官方直接下載之外,任何協力廠商來源,甚至協力廠商下載管道的 Xcode 工具都不能保證安全。
問題是,Xcode是一款免費的開發工具,為什麼中國開發者不直接從App Store下載官方Xcode?
歸根結底的原因恐怕還是中國的網路長城政策,中國使用者使用App Store連線速度太慢,許多程式師為了提高效率,方便下載,會直接從各大論壇和網盤上找其他的下載資源,這就給了一些駭客提供了作案的機會。
XCodeGhost的作用
雖然 XCodeGhost 並沒有非常嚴重的惡意行為,但是這種病毒傳播方式在 iOS 上還是首次。也許這只是病毒作者的首次嘗試而已,可能隨後還會有更大的動作,請開發者務必要小心。
並且,在後續的追蹤中,發現 http://init.icloud-analysis.com 這個網站的伺服器已經關閉,也挖掘不到太多資訊,目前也還找不到這個病毒作者的痕跡。
哪些App中招了?
直接列表:
- 開眼 1.8.0
- 聯通手機營業廳 3.2
- 媽媽圈 5.3.0
- 南方航空 2.6.5.0730 – 2.6.5
- 南京銀行 3.6 – 3.0.4
- 逆轉三國 5.80.5 – 5.80
- 窮遊 6.4.1
- 窮遊 6.4.1 – 6.4
- 三國名將 4.5.0.1 – 4.5.1
- 天使房貸 5.3.0.2 – 5.3.0
- 天涯社區 5.1.0
- 鐵路 12306 2.1
- 同花順 9.60.01
- 同花順 9.26.03
- 圖釘 7.7.2
- 網易公開課 4.2.8
- 網易雲音樂 2.8.3
- 網易雲音樂 2.8.1
- 微信 6.2.5
- 我叫 MT 4.6.2
- 我叫 MT2 1.8.5
- 下廚房 4.3.2
- 下廚房 4.3.1
- 造夢西遊 OL 4.6.0
- 診療助手 7.2.3
- 自由之戰 1.0.9
- 卷皮 3.3.1
- 簡書 2.9.1
- 股票雷達 5.6.1 – 5.6
- 高德地圖 7.3.8.1040 – 7.3.8
- 高德地圖 7.3.8.2037
- 夫妻床頭話 2.0.1
- 動卡空間 3.4.4.1 – 3.4.4
- 電話歸屬地助手 3.6.3
- 滴滴打車 3.9.7.1 – 3.9.7
- 滴滴出行 4.0.0
- 炒股公開課 3.10.02 – 3.10.01
- 百度音樂 5.2.7.3 – 5.2.7
- YaYa 藥師 1.1.1
- YaYa 6.4.3 – 6.4
- WO + 創富 2.0.6 – 2.0.4
- WallpaperFlip 1.8
- VGO 視信 1.6.0
- UME 電影票 2.9.4
- UA 電影票 2.9.2
- Theme 2.4 – 2.4
- Theme 2.4.2 – 2.4
- Phone+ 3.3.6
- Perfect365 4.6.16
- OPlayer Lite 21051 – 2105
- MTP 管理微學 1.0.0 – 2.0.1
- Mail Attach 2.3.2 – 2.3
- Jewels Quest 2 3.39
- How Old Do I Look? How Old Am I? -Face Age Camera 3.6.7
- H3C 易查通 2.3 – 2.2
- Digit God 2.0.4 – 2.0
- Cute CUT 1.7
- CarrotFantasy 1.7.0.1 – 1.7.0
- CamCard 6.3.2.9095 – 6.3.2
- Albums 2.9.2
- AA 記帳 1.8.7 – 1.8
- 51 卡保險箱 5.0.1
- 2345 流覽器 4.0.1
上述是目前已經確定的名單,按照這個態勢,後續中招的 iOS 應用極有可能(實際上應該是一定會)繼續擴大。並且這個名單中還有很多金融股票相關的,潛在危害難以估量。
在 XcodeGhost 病毒被曝光後,被確認中招的網易雲音樂馬上發佈公告:「這次感染設計資訊皆為產品的系統資訊,無法調取和洩露使用者的個人資訊。目前感染製作者的伺服器已經關閉,不會再產生任何威脅。」
但是事實真的如此嗎?
實際危害在哪裡?
一開始的時候,關注此事的 iOS 開發者表示這個事情的危害並不大,在隱私問題多多的現今,這種程度的洩露算不得什麼。但是!在仔細研究下去之後,這些人收回了前面的言論。
四葉新媒體聯合創始人,微博用戶 Saic 稱:
「拿資料看了一下,這個木馬劫持了所有系統的彈出視窗(例如 IAP 支付),然後向目標伺服器發送了加密資料,目前還不知怎麼解密發出去的請求。」
比方說,在中毒的App 中進行一次 IAP(In-App Purchase,智慧移動終端應用程式付費的模式)內購,比如網易雲音樂中的 Taylor Swift 音樂包,此時輸入的密碼或者 Touch ID 後,就有加密資料發往目標伺服器,現在不清楚加密資訊是什麼。因此,下載了中毒App的使用者的密碼都存在著洩露的危險。
所以,網易雲音樂公告所說的「目前感染製作者的伺服器已經關閉,不會再產生任何威脅」沒有錯,但是,之前已經有許多資訊被發往了目標伺服器了,不能無視這一致命的前提。
台灣的使用者有危險嗎?
雖然說中國的App開發對我們的影響不大,台灣的App開發者應該也不會捨近求遠,跑去其他來路不明的地方下載Xcode 開發工具,因此對我們來說應該沒有影響。
不過,在台灣的App Store上面也有很多是來自中國開發者開發的App,這些就有可能是用了受感染的開發工具所開發的App了,畢竟這些開發者不可能為了不同地區發行而選用另一套工具來開發。因此看到一些中國品牌的App,建議你還是該小心,如果你已經用過上述被證明已感染的App,目前能做的除了祈禱自己不要洩露敏感資訊之外,第一時間做的肯定還是修改各種在 iOS 設備上使用過的密碼,尤其是 iCloud 密碼,並且開啟兩步驗證,構築密碼之外的防火牆。
可以不用就不用<( ̄︶ ̄)>
官員表示:哈哈哈你看看你