數(shù)億蘋果用戶中毒：一場(chǎng)本可以避免的悲劇

大量開發(fā)者帶“毒”開發(fā)App，“媽媽”都生病了，“孩子”還能幸免嗎？

■IT時(shí)報(bào)記者 章蔚瑋

最近，不少蘋果手機(jī)用戶都開始忙著刪除自己手機(jī)內(nèi)的“中毒”應(yīng)用，iOS系統(tǒng)變得不再安全的現(xiàn)實(shí)，引起了很多人的恐慌。而在整個(gè)事件中，iOS開發(fā)者從非蘋果官方渠道下載的xcode 開發(fā)器是導(dǎo)致大范圍App“中毒”的重要原因，真正需要恐慌的是，國內(nèi)iOS開發(fā)者在安全操作規(guī)范上存在的“漏洞”。

事件回放

數(shù)億蘋果大面積中毒iOS首次遭遇安全危機(jī)

9月17日，國外安全公司 Paloalto發(fā)布了第一版關(guān)于XcodeGhost的分析報(bào)告，隨后阿里移動(dòng)安全在國內(nèi)緊跟著發(fā)布了相關(guān)報(bào)告，由此引發(fā)一場(chǎng)國內(nèi)安全圈的“大地震”。據(jù)不完全統(tǒng)計(jì)，中國區(qū)App Store 商店中有接近百款常用軟件，包括微信、滴滴打車、12306、網(wǎng)易云音樂、高德地圖、中國聯(lián)通手機(jī)營業(yè)廳等覆蓋率極高的應(yīng)用軟件被發(fā)現(xiàn)已注入這一惡意程序。至少對(duì)數(shù)億名 iOS 用戶的個(gè)人信息造成了威脅。

整個(gè)事件的起因是，由惡意開發(fā)者制作的帶有“后門”的 Xcode(由蘋果發(fā)布的iOS 和OS X開發(fā)器)，并將其上傳到網(wǎng)絡(luò)，iOS 開發(fā)者通過非蘋果官方渠道下載了這些變異的 Xcode，進(jìn)行軟件開發(fā)，并上架到App Store。用戶將這些帶有惡意代碼的應(yīng)用同時(shí)下載到自己手機(jī)中，最終導(dǎo)致了大范圍傳播。

這種惡意軟件程序目前被定名為XcodeGhost，其可怕之處在于無論蘋果手機(jī)是否越獄，所有可運(yùn)行iOS軟件的 iPhone、iPad 和 iPod touch 都可感染。根據(jù)騰訊安全應(yīng)急中心的分析報(bào)告，受感染的App在啟動(dòng)、后臺(tái)、恢復(fù)、結(jié)束時(shí)，這一惡意程序都將上報(bào)信息至黑客控制的服務(wù)器，上報(bào)的信息包括：版本、名稱、本地語言、iOS版本、設(shè)備類型、國家碼等設(shè)備信息。不僅僅如此，在后臺(tái)，黑客能夠通過上報(bào)的信息區(qū)分每一臺(tái)iOS設(shè)備，使其變成“肉雞”(被黑客遠(yuǎn)程控制的電腦、手機(jī)等)，黑客可隨時(shí)隨地下發(fā)偽協(xié)議指令，不僅能在受感染的iPhone中完成打開網(wǎng)頁、發(fā)短信、打電話等常規(guī)手機(jī)行為，甚至還可以操作具備偽協(xié)議能力的大量第三方App。

黑客水平很高

應(yīng)該與黑色產(chǎn)業(yè)鏈有關(guān)

事件爆發(fā)后，自稱是“XcodeGhost”始作俑者的新浪微博用戶@XcodeGhost-Author發(fā)布了一封道歉信，稱XcodeGhost源于他自己進(jìn)行的一項(xiàng)實(shí)驗(yàn)，獲取的全部數(shù)據(jù)實(shí)際為基本的App信息：應(yīng)用名、應(yīng)用版本號(hào)、系統(tǒng)版本號(hào)、語言、國家名、開發(fā)者符號(hào)、App安裝時(shí)間、設(shè)備名稱、設(shè)備類型，除此之外，沒有獲取任何其他數(shù)據(jù)。他承認(rèn)，出于私心，其在代碼中加入了廣告功能，希望將來可以推廣自己的應(yīng)用，但從開始到最終關(guān)閉服務(wù)器，并未使用過廣告功能。而在10天前，他已主動(dòng)關(guān)閉服務(wù)器，并刪除所有數(shù)據(jù)，更不會(huì)對(duì)任何人有任何影響。“XcodeGhost不會(huì)影響任何App的使用，更不會(huì)獲取隱私數(shù)據(jù)，僅僅是一段已經(jīng)死亡的代碼。”

但在安全界人士看來，進(jìn)行這種黑客行為對(duì)制造者的技術(shù)水平要求很高，絕非一般人能夠所為，應(yīng)該是有一個(gè)團(tuán)隊(duì)在操盤，很可能是和黑色產(chǎn)業(yè)鏈有關(guān)系。安全界人士韓爭(zhēng)光認(rèn)為，“這種黑客直接把木馬代碼嵌入了iOS開發(fā)工具源頭的攻擊方式在國內(nèi)尚屬首次，而一旦這扇門開了，帶來的風(fēng)險(xiǎn)是不言而喻的。”

App開發(fā)環(huán)境中毒了

除了黑客的惡意攻擊，iOS開發(fā)者在整個(gè)事件中同樣難辭其咎。在多個(gè)國內(nèi)安全實(shí)驗(yàn)室給出的報(bào)告中都指出，XcodeGhost事件的罪魁禍?zhǔn)拙褪情_發(fā)人員從非官方下載的Xcode，正是在這些變異的Xcode中找出了在官方版本中不存在的“系統(tǒng)組件”。

為什么國內(nèi)開發(fā)者會(huì)棄官方版本不用而選用普遍意義上的“盜版”？在網(wǎng)絡(luò)上大部分開發(fā)者給出的解釋是，官方版本下載速度過慢，因此他們更愿意使用第三方下載渠道的Xcode。因?yàn)閺淖罱K的操作環(huán)境看，兩者之間幾乎沒有差異。

對(duì)此，《IT時(shí)報(bào)》記者采訪了數(shù)位iOS開發(fā)者后卻得出了不同的結(jié)論，“開發(fā)者說太慢可能是在找借口，”在一位來自廣州的iOS開發(fā)者看來，與iPhone用戶進(jìn)入App Store的情形相同，下載Xcode偶爾的卡頓在所難免，“開發(fā)者進(jìn)入Xcode有時(shí)候會(huì)很慢，尤其在網(wǎng)速很慢的情況下，下載或許會(huì)用到一兩個(gè)小時(shí)，但快的時(shí)候也就十幾分鐘。”

另一方面，企業(yè)對(duì)下載源的控制也幾乎是空白，導(dǎo)致在大環(huán)境上無從把控。一位素來習(xí)慣使用官方軟件的iOS開發(fā)者告訴《IT時(shí)報(bào)》記者，他此前應(yīng)聘過一家IT公司，公司電腦上已經(jīng)安裝了Xcode開發(fā)環(huán)境，盡管是非官方，但他覺得自己沒必要再重裝開發(fā)環(huán)境，“設(shè)想一下如此循環(huán)，所有出自這家公司的軟件都有可能染上惡意病毒。”

開發(fā)者安全意識(shí)淡薄引擔(dān)憂

到目前為止，國內(nèi)沒有任何一家企業(yè)IT安全管理對(duì)開發(fā)者的下載環(huán)境及程序進(jìn)行明文要求，其中包括微信、網(wǎng)易云音樂這樣的大型開發(fā)團(tuán)隊(duì)。但事實(shí)上，這并非無蹤跡可尋，在國內(nèi)，盜版?zhèn)€人軟件早已成為木馬植入的重災(zāi)區(qū)，作為開發(fā)者不會(huì)全然沒有意識(shí)，“非官方下載的軟件廣告非常多，這點(diǎn)在第三方下載的Xcode中也存在同樣的情況。”

讓人更為恐懼的是，類似植入開發(fā)源的惡意程序，開發(fā)者若“失守”，蘋果官方也將很難審查，因?yàn)椴《疚募氐锰盍恕?/p>

事件發(fā)生后，不同平臺(tái)迅速修補(bǔ)了漏洞，并更新了新版本。但在國內(nèi)開發(fā)者中，依然并不認(rèn)為事件很嚴(yán)重，“沒什么影響啊，這個(gè)問題現(xiàn)在又沒有造成什么危害。”一個(gè)小型團(tuán)隊(duì)的開發(fā)者說道。未來，至少大公司應(yīng)該對(duì)開發(fā)工具的下載源進(jìn)行嚴(yán)格控制了。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。