揭秘数亿苹果用户中毒
内容摘要:“地狱之门”打开了 最近,不少苹果手机用户都开始忙着删除自己手机内的“中毒”应用,iOS系统变得不再安全的现实,引起了很多人的恐慌。在整个事件中,iOS开发者从非苹果官方渠道下载的xcode开发器是导致大范围App...
“地狱之门”打开了
最近,不少苹果手机用户都开始忙着删除自己手机内的“中毒”应用,iOS系统变得不再安全的现实,引起了很多人的恐慌。在整个事件中,iOS开发者从非苹果官方渠道下载的xcode开发器是导致大范围App“中毒”的重要原因,真正需要恐慌的是,国内iOS开发者在安全操作规范上存在的“漏洞”。
事件回放:数亿苹果大面积中毒iOS首次遭遇安全危机
9月17日,国外安全公司Paloalto发布了第一版关于XcodeGhost的分析报告,随后阿里移动安全在国内紧跟着发布了相关报告,由此引发一场国内安全圈的“大地震”。
据不完全统计,中国区App Store商店中有接近百款常用软件,包括微信、滴滴打车、12306、网易云音乐、高德地图、中国联通(600050,股吧)手机营业厅等覆盖率极高的应用软件被发现已注入这一恶意程序,至少对数亿名iOS 用户的个人信息造成了威胁。
整个事件的起因是,由恶意开发者制作的带有“后门”的Xcode(由苹果发布的iOS 和OS X开发器),并将其上传到网络,iOS开发者通过非苹果官方渠道下载了这些变异的 Xcode,进行软件开发,并上架到App Store。用户将这些带有恶意代码的应用同时下载到自己手机中,最终导致了大范围传播。
这种恶意软件程序目前被定名为XcodeGhost,其可怕之处在于无论苹果手机是否越狱,所有可运行iOS软件的iPhone、iPad和iPod touch 都可感染。
根据腾讯安全应急中心的分析报告,受感染的App在启动、后台、恢复、结束时,这一恶意程序都将上报信息至黑客控制的服务器,上报的信息包括:版本、名称、本地语言、iOS版本、设备类型、国家码等设备信息。
不仅仅如此,在后台,黑客能够通过上报的信息区分每一台iOS设备,使其变成“肉鸡”(被黑客远程控制的电脑、手机等),黑客可随时随地下发伪协议指令,不仅能在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方App。
黑客水平很高应该与黑色产业链有关
事件爆发后,自称是“XcodeGhost”始作俑者的新浪微博用户@XcodeGhost-Author发布了一封道歉信,称XcodeGhost源于他自己进行的一项实验,获取的全部数据实际为基本的App信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、App安装时间、设备名称、设备类型,除此之外,没有获取任何其他数据。
他承认,出于私心,其在代码中加入了广告功能,希望将来可以推广自己的应用,但从开始到最终关闭服务器,并未使用过广告功能而在10天前,他已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。
“XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。”
但在安全界人士看来,进行这种黑客行为对制造者的技术水平要求很高,绝非一般人能够所为,应该是有一个团队在操盘,很可能是和黑色产业链有关系。
安全界人士韩争光认为:“
这种黑客直接把木马代码嵌入了iOS开发工具源头的攻击方式在国内尚属首次,而一旦这扇门开了,带来的风险是不言而喻的。
App开发环境中毒了
除了黑客的恶意攻击,iOS开发者在整个事件中同样难辞其咎。在多个国内安全实验室给出的报告中都指出,XcodeGhost事件的罪魁祸首就是开发人员从非官方下载的Xcode,正是在这些变异的Xcode中找出了在官方版本中不存在的”系统组件“。
为什么国内开发者会弃官方版本不用而选用普遍意义上的”盗版“?在网络上大部分开发者给出的解释是,官方版本下载速度过慢,因此他们更愿意使用第三方下载渠道的Xcode。因为从最终的操作环境看,两者之间几乎没有差异。
对此,记者采访了数位iOS开发者后却得出了不同的结论,”开发者说太慢可能是在找借口“。
在一位来自广州的iOS开发者看来,与iPhone用户进入App Store的情形相同,下载Xcode偶尔的卡顿在所难免,”开发者进入Xcode有时候会很慢,尤其在网速很慢的情况下,下载或许会用到一两个小时,但快的时候也就十几分钟“。
另一方面,企业对下载源的控制也几乎是空白,导致在大环境上无从把控。一位素来习惯使用官方软件的iOS开发者告诉记者,他此前应聘过一家IT公司,公司电脑上已经安装了Xcode开发环境,尽管是非官方,但他觉得自己没必要再重装开发环境,”设想一下如此循环,所有出自这家公司的软件都有可能染上恶意病毒“。
开发者安全意识淡薄引担忧
到目前为止,国内没有任何一家企业IT安全管理对开发者的下载环境及程序进行明文要求,其中包括微信、网易云音乐这样的大型开发团队,但事实上,这并非无踪迹可寻,在国内,盗版个人软件早已成为木马植入的重灾区,作为开发者不会全然没有意识,”非官方下载的软件广告非常多,这点在第三方下载的Xcode中也存在同样的情况“。
让人更为恐惧的是,类似植入开发源的恶意程序,开发者若”失守“,苹果官方也将很难审查,因为病毒文件藏得太深了。
事件发生后,不同平台迅速修补了漏洞,并更新了新版本。但在国内开发者中,依然并不认为事件很严重,”没什么影响啊,这个问题现在又没有造成什么危害。“一个小型团队的开发者说道。未来,至少大公司应该对开发工具的下载源进行严格控制了。
XcodeGhost彻底打破苹果安全神话:我们该怎么办?
XcodeGhost案重要嫌疑人被控制:是个高材生
XcodeGhost污染25大应用:恐怖!都是常用的