大量開發(fā)者帶“毒”開發(fā)App,“媽媽”都生病了,“孩子”還能幸免嗎?
■IT時(shí)報(bào)記者 章蔚瑋
最近,不少蘋果手機(jī)用戶都開始忙著刪除自己手機(jī)內(nèi)的“中毒”應(yīng)用,iOS系統(tǒng)變得不再安全的現(xiàn)實(shí),引起了很多人的恐慌。而在整個(gè)事件中,iOS開發(fā)者從非蘋果官方渠道下載的xcode 開發(fā)器是導(dǎo)致大范圍App“中毒”的重要原因,真正需要恐慌的是,國內(nèi)iOS開發(fā)者在安全操作規(guī)范上存在的“漏洞”。
事件回放
數(shù)億蘋果大面積中毒iOS首次遭遇安全危機(jī)
9月17日,國外安全公司 Paloalto發(fā)布了第一版關(guān)于XcodeGhost的分析報(bào)告,隨后阿里移動安全在國內(nèi)緊跟著發(fā)布了相關(guān)報(bào)告,由此引發(fā)一場國內(nèi)安全圈的“大地震”。據(jù)不完全統(tǒng)計(jì),中國區(qū)App Store 商店中有接近百款常用軟件,包括微信、滴滴打車、12306、網(wǎng)易云音樂、高德地圖、中國聯(lián)通手機(jī)營業(yè)廳等覆蓋率極高的應(yīng)用軟件被發(fā)現(xiàn)已注入這一惡意程序。至少對數(shù)億名 iOS 用戶的個(gè)人信息造成了威脅。
整個(gè)事件的起因是,由惡意開發(fā)者制作的帶有“后門”的 Xcode(由蘋果發(fā)布的iOS 和OS X開發(fā)器),并將其上傳到網(wǎng)絡(luò),iOS 開發(fā)者通過非蘋果官方渠道下載了這些變異的 Xcode,進(jìn)行軟件開發(fā),并上架到App Store。用戶將這些帶有惡意代碼的應(yīng)用同時(shí)下載到自己手機(jī)中,最終導(dǎo)致了大范圍傳播。
這種惡意軟件程序目前被定名為XcodeGhost,其可怕之處在于無論蘋果手機(jī)是否越獄,所有可運(yùn)行iOS軟件的 iPhone、iPad 和 iPod touch 都可感染。根據(jù)騰訊安全應(yīng)急中心的分析報(bào)告,受感染的App在啟動、后臺、恢復(fù)、結(jié)束時(shí),這一惡意程序都將上報(bào)信息至黑客控制的服務(wù)器,上報(bào)的信息包括:版本、名稱、本地語言、iOS版本、設(shè)備類型、國家碼等設(shè)備信息。不僅僅如此,在后臺,黑客能夠通過上報(bào)的信息區(qū)分每一臺iOS設(shè)備,使其變成“肉雞”(被黑客遠(yuǎn)程控制的電腦、手機(jī)等),黑客可隨時(shí)隨地下發(fā)偽協(xié)議指令,不僅能在受感染的iPhone中完成打開網(wǎng)頁、發(fā)短信、打電話等常規(guī)手機(jī)行為,甚至還可以操作具備偽協(xié)議能力的大量第三方App。
黑客水平很高
應(yīng)該與黑色產(chǎn)業(yè)鏈有關(guān)
事件爆發(fā)后,自稱是“XcodeGhost”始作俑者的新浪微博用戶@XcodeGhost-Author發(fā)布了一封道歉信,稱XcodeGhost源于他自己進(jìn)行的一項(xiàng)實(shí)驗(yàn),獲取的全部數(shù)據(jù)實(shí)際為基本的App信息:應(yīng)用名、應(yīng)用版本號、系統(tǒng)版本號、語言、國家名、開發(fā)者符號、App安裝時(shí)間、設(shè)備名稱、設(shè)備類型,除此之外,沒有獲取任何其他數(shù)據(jù)。他承認(rèn),出于私心,其在代碼中加入了廣告功能,希望將來可以推廣自己的應(yīng)用,但從開始到最終關(guān)閉服務(wù)器,并未使用過廣告功能。而在10天前,他已主動關(guān)閉服務(wù)器,并刪除所有數(shù)據(jù),更不會對任何人有任何影響。“XcodeGhost不會影響任何App的使用,更不會獲取隱私數(shù)據(jù),僅僅是一段已經(jīng)死亡的代碼。”
但在安全界人士看來,進(jìn)行這種黑客行為對制造者的技術(shù)水平要求很高,絕非一般人能夠所為,應(yīng)該是有一個(gè)團(tuán)隊(duì)在操盤,很可能是和黑色產(chǎn)業(yè)鏈有關(guān)系。安全界人士韓爭光認(rèn)為,“這種黑客直接把木馬代碼嵌入了iOS開發(fā)工具源頭的攻擊方式在國內(nèi)尚屬首次,而一旦這扇門開了,帶來的風(fēng)險(xiǎn)是不言而喻的。”
App開發(fā)環(huán)境中毒了
除了黑客的惡意攻擊,iOS開發(fā)者在整個(gè)事件中同樣難辭其咎。在多個(gè)國內(nèi)安全實(shí)驗(yàn)室給出的報(bào)告中都指出,XcodeGhost事件的罪魁禍?zhǔn)拙褪情_發(fā)人員從非官方下載的Xcode,正是在這些變異的Xcode中找出了在官方版本中不存在的“系統(tǒng)組件”。
為什么國內(nèi)開發(fā)者會棄官方版本不用而選用普遍意義上的“盜版”?在網(wǎng)絡(luò)上大部分開發(fā)者給出的解釋是,官方版本下載速度過慢,因此他們更愿意使用第三方下載渠道的Xcode。因?yàn)閺淖罱K的操作環(huán)境看,兩者之間幾乎沒有差異。
對此,《IT時(shí)報(bào)》記者采訪了數(shù)位iOS開發(fā)者后卻得出了不同的結(jié)論,“開發(fā)者說太慢可能是在找借口,”在一位來自廣州的iOS開發(fā)者看來,與iPhone用戶進(jìn)入App Store的情形相同,下載Xcode偶爾的卡頓在所難免,“開發(fā)者進(jìn)入Xcode有時(shí)候會很慢,尤其在網(wǎng)速很慢的情況下,下載或許會用到一兩個(gè)小時(shí),但快的時(shí)候也就十幾分鐘。”
另一方面,企業(yè)對下載源的控制也幾乎是空白,導(dǎo)致在大環(huán)境上無從把控。一位素來習(xí)慣使用官方軟件的iOS開發(fā)者告訴《IT時(shí)報(bào)》記者,他此前應(yīng)聘過一家IT公司,公司電腦上已經(jīng)安裝了Xcode開發(fā)環(huán)境,盡管是非官方,但他覺得自己沒必要再重裝開發(fā)環(huán)境,“設(shè)想一下如此循環(huán),所有出自這家公司的軟件都有可能染上惡意病毒。”
開發(fā)者安全意識淡薄引擔(dān)憂
到目前為止,國內(nèi)沒有任何一家企業(yè)IT安全管理對開發(fā)者的下載環(huán)境及程序進(jìn)行明文要求,其中包括微信、網(wǎng)易云音樂這樣的大型開發(fā)團(tuán)隊(duì)。但事實(shí)上,這并非無蹤跡可尋,在國內(nèi),盜版?zhèn)€人軟件早已成為木馬植入的重災(zāi)區(qū),作為開發(fā)者不會全然沒有意識,“非官方下載的軟件廣告非常多,這點(diǎn)在第三方下載的Xcode中也存在同樣的情況。”
讓人更為恐懼的是,類似植入開發(fā)源的惡意程序,開發(fā)者若“失守”,蘋果官方也將很難審查,因?yàn)椴《疚募氐锰盍恕?/p>
事件發(fā)生后,不同平臺迅速修補(bǔ)了漏洞,并更新了新版本。但在國內(nèi)開發(fā)者中,依然并不認(rèn)為事件很嚴(yán)重,“沒什么影響啊,這個(gè)問題現(xiàn)在又沒有造成什么危害。”一個(gè)小型團(tuán)隊(duì)的開發(fā)者說道。未來,至少大公司應(yīng)該對開發(fā)工具的下載源進(jìn)行嚴(yán)格控制了。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 網(wǎng)信辦嚴(yán)打網(wǎng)絡(luò)侵害未成年人行為,守護(hù)成長新篇章
- 豆包大模型升級引爆股市,字節(jié)緊急警示:小心為上
- 小米YU7無偽裝實(shí)車首次曝光引熱議,小紅書封號事件沖上熱搜,科技圈又掀波瀾?
- 警惕討好型人格:賺錢路上,人格魅力并非一切
- 小米SUV墜崖一家四口奇跡生還,車主回應(yīng):別夸大其詞
- 金融AI大模型新突破:奇富科技AI產(chǎn)品小奇引領(lǐng)行業(yè),重塑金融未來
- 谷歌攜手Apptronik,AI+機(jī)器人引領(lǐng)未來:商業(yè)化人形機(jī)器人新紀(jì)元
- AI盛宴即將上演!李想回歸,理想汽車12月25日揭秘未來駕駛新篇章
- 特斯拉Model Y勁敵來襲!明年登陸英國市場的未來樂道L60引爆期待
- 火山引擎總裁回應(yīng)豆包大模型定價(jià):如何確保合理毛利,揭秘行業(yè)內(nèi)幕
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。