最近�,不少蘋(píng)果手機用戶(hù)都開(kāi)始忙著(zhù)刪除自己手機內的“中毒”應用�,iOS系統變得不再安全的現實(shí)�,引起了很多人的恐慌��。而在整個(gè)事件中����,iOS開(kāi)發(fā)者從非蘋(píng)果官方渠道下載的xcode 開(kāi)發(fā)器是導致大范圍App“中毒”的重要原因��,真正需要恐慌的是��,國內iOS開(kāi)發(fā)者在安全操作規范上存在的“漏洞”�。
事件回放
數億蘋(píng)果大面積中毒iOS首次遭遇安全危機
9月17日��,國外安全公司 Paloalto發(fā)布了第一版關(guān)于XcodeGhost的分析報告�,隨后阿里移動(dòng)安全在國內緊跟著(zhù)發(fā)布了相關(guān)報告����,由此引發(fā)一場(chǎng)國內安全圈的“大地震”�。據不完全統計��,中國區App Store 商店中有接近百款常用軟件��,包括微信�、滴滴打車(chē)�、12306��、網(wǎng)易云音樂(lè )�、高德地圖��、中國聯(lián)通手機營(yíng)業(yè)廳等覆蓋率極高的應用軟件被發(fā)現已注入這一惡意程序��。至少對數億名 iOS 用戶(hù)的個(gè)人信息造成了威脅��。
整個(gè)事件的起因是�,由惡意開(kāi)發(fā)者制作的帶有“后門(mén)”的 Xcode(由蘋(píng)果發(fā)布的iOS 和OS X開(kāi)發(fā)器)�,并將其上傳到網(wǎng)絡(luò )����,iOS 開(kāi)發(fā)者通過(guò)非蘋(píng)果官方渠道下載了這些變異的 Xcode����,進(jìn)行軟件開(kāi)發(fā)��,并上架到App Store�。用戶(hù)將這些帶有惡意代碼的應用同時(shí)下載到自己手機中��,最終導致了大范圍傳播��。
這種惡意軟件程序目前被定名為XcodeGhost��,其可怕之處在于無(wú)論蘋(píng)果手機是否越獄�,所有可運行iOS軟件的 iPhone�、iPad 和 iPod touch 都可感染�。根據騰訊安全應急中心的分析報告��,受感染的App在啟動(dòng)�、后臺�、恢復����、結束時(shí)��,這一惡意程序都將上報信息至黑客控制的服務(wù)器��,上報的信息包括:版本��、名稱(chēng)����、本地語(yǔ)言�、iOS版本�、設備類(lèi)型����、國家碼等設備信息�。不僅僅如此��,在后臺�,黑客能夠通過(guò)上報的信息區分每一臺iOS設備�,使其變成“肉雞”(被黑客遠程控制的電腦����、手機等)����,黑客可隨時(shí)隨地下發(fā)偽協(xié)議指令��,不僅能在受感染的iPhone中完成打開(kāi)網(wǎng)頁(yè)�、發(fā)短信�、打電話(huà)等常規手機行為�,甚至還可以操作具備偽協(xié)議能力的大量第三方App.
黑客水平很高
應該與黑色產(chǎn)業(yè)鏈有關(guān)
事件爆發(fā)后��,自稱(chēng)是“XcodeGhost”始作俑者的新浪微博用戶(hù)@XcodeGhost-Author發(fā)布了一封道歉信�,稱(chēng)XcodeGhost源于他自己進(jìn)行的一項實(shí)驗����,獲取的全部數據實(shí)際為基本的App信息:應用名����、應用版本號��、系統版本號��、語(yǔ)言�、國家名�、開(kāi)發(fā)者符號����、App安裝時(shí)間��、設備名稱(chēng)�、設備類(lèi)型��,除此之外����,沒(méi)有獲取任何其他數據����。他承認����,出于私心����,其在代碼中加入了廣告功能����,希望將來(lái)可以推廣自己的應用�,但從開(kāi)始到最終關(guān)閉服務(wù)器����,并未使用過(guò)廣告功能�。而在10天前�,他已主動(dòng)關(guān)閉服務(wù)器��,并刪除所有數據����,更不會(huì )對任何人有任何影響��。“XcodeGhost不會(huì )影響任何App的使用�,更不會(huì )獲取隱私數據����,僅僅是一段已經(jīng)死亡的代碼����。”
但在安全界人士看來(lái)��,進(jìn)行這種黑客行為對制造者的技術(shù)水平要求很高��,絕非一般人能夠所為��,應該是有一個(gè)團隊在操盤(pán)�,很可能是和黑色產(chǎn)業(yè)鏈有關(guān)系�。安全界人士韓爭光認為����,“這種黑客直接把木馬代碼嵌入了iOS開(kāi)發(fā)工具源頭的攻擊方式在國內尚屬首次����,而一旦這扇門(mén)開(kāi)了����,帶來(lái)的風(fēng)險是不言而喻的����。”
App開(kāi)發(fā)環(huán)境中毒了
除了黑客的惡意攻擊�,iOS開(kāi)發(fā)者在整個(gè)事件中同樣難辭其咎����。在多個(gè)國內安全實(shí)驗室給出的報告中都指出��,XcodeGhost事件的罪魁禍首就是開(kāi)發(fā)人員從非官方下載的Xcode�,正是在這些變異的Xcode中找出了在官方版本中不存在的“系統組件”����。
為什么國內開(kāi)發(fā)者會(huì )棄官方版本不用而選用普遍意義上的“盜版”��?在網(wǎng)絡(luò )上大部分開(kāi)發(fā)者給出的解釋是��,官方版本下載速度過(guò)慢��,因此他們更愿意使用第三方下載渠道的Xcode�。因為從最終的操作環(huán)境看�,兩者之間幾乎沒(méi)有差異��。
對此����,《IT時(shí)報》記者采訪(fǎng)了數位iOS開(kāi)發(fā)者后卻得出了不同的結論�,“開(kāi)發(fā)者說(shuō)太慢可能是在找借口����,”在一位來(lái)自廣州的iOS開(kāi)發(fā)者看來(lái)�,與iPhone用戶(hù)進(jìn)入App Store的情形相同�,下載Xcode偶爾的卡頓在所難免��,“開(kāi)發(fā)者進(jìn)入Xcode有時(shí)候會(huì )很慢����,尤其在網(wǎng)速很慢的情況下��,下載或許會(huì )用到一兩個(gè)小時(shí)��,但快的時(shí)候也就十幾分鐘����。”
另一方面�,企業(yè)對下載源的控制也幾乎是空白����,導致在大環(huán)境上無(wú)從把控����。一位素來(lái)習慣使用官方軟件的iOS開(kāi)發(fā)者告訴《IT時(shí)報》記者�,他此前應聘過(guò)一家IT公司�,公司電腦上已經(jīng)安裝了Xcode開(kāi)發(fā)環(huán)境��,盡管是非官方�,但他覺(jué)得自己沒(méi)必要再重裝開(kāi)發(fā)環(huán)境��,“設想一下如此循環(huán)����,所有出自這家公司的軟件都有可能染上惡意病毒�。”
開(kāi)發(fā)者安全意識淡薄引擔憂(yōu)
到目前為止����,國內沒(méi)有任何一家企業(yè)IT安全管理對開(kāi)發(fā)者的下載環(huán)境及程序進(jìn)行明文要求��,其中包括微信�、網(wǎng)易云音樂(lè )這樣的大型開(kāi)發(fā)團隊�。但事實(shí)上�,這并非無(wú)蹤跡可尋�,在國內�,盜版個(gè)人軟件早已成為木馬植入的重災區��,作為開(kāi)發(fā)者不會(huì )全然沒(méi)有意識����,“非官方下載的軟件廣告非常多�,這點(diǎn)在第三方下載的Xcode中也存在同樣的情況�。”
讓人更為恐懼的是��,類(lèi)似植入開(kāi)發(fā)源的惡意程序��,開(kāi)發(fā)者若“失守”����,蘋(píng)果官方也將很難審查����,因為病毒文件藏得太深了����。
事件發(fā)生后��,不同平臺迅速修補了漏洞�,并更新了新版本����。但在國內開(kāi)發(fā)者中�,依然并不認為事件很?chē)乐兀?ldquo;沒(méi)什么影響啊����,這個(gè)問(wèn)題現在又沒(méi)有造成什么危害�。”一個(gè)小型團隊的開(kāi)發(fā)者說(shuō)道����。未來(lái)��,至少大公司應該對開(kāi)發(fā)工具的下載源進(jìn)行嚴格控制了�。
