蘋果Xcode後門事件

蘋果Xcode後門事件

9月18日烏雲網公布的一則分析報告稱,有些程式設計師使用了第三方Xcode編譯器,這些編譯器編寫的APP存在安全問題,當它們上傳到AppStore之後,被用戶下載安裝,它們會偷偷上傳軟體包名、套用名、系統版本、語言、國家等基本信息。從病毒樣本的分析看,這些泄露信息其實並不涉及太多的隱私問題。

  • 中文名稱
    蘋果Xcode後門事件
  • 感染系統
    IOS
  • 病毒類型
    木馬病毒

蘋果Xcode後門事件

9月18日烏雲網公布的一則分析報告稱,有些程式設計師使用了第三方Xcode編譯器,這些編譯器編寫的APP存在安全問題,當它們上傳到AppStore之後,被用戶下載安裝,它們會偷偷上傳軟體包名、套用名、系統版本、語言、國家等基本信息。從病毒樣本的分析看,這些泄露信息其實並不涉及太多的隱私問題。

值得注意的是,病毒擁有更多的許可權,它們在iPhone/iPad上彈出釣魚網站頁面,可能騙取iCloud帳號密碼,或者其他關鍵信息。

據據網易科技報導,如果在近一段時間(1-2個月內),普通用戶在這些受影響的套用中輸入過敏感信息,如icloud密碼、信用卡信息等,這些信息理論上也可能被泄露。

據中國之聲《新聞晚高峰》報導,根據安全漏洞報告平台烏雲報告顯示,目前蘋果套用商店中已有大量套用感染上了一種名叫XcodeGhost的病毒。這種病毒不僅會在套用運行時竊取用戶信息,甚至還會模擬收費或帳號彈窗來竊取你的iCloud及iTunes密碼。受影回響用數超過76款,涉及用戶多達1個億

哪些APP中招?

據騰訊安全應急回響中心的文章,至少76款蘋果套用被病毒入侵,受影響用戶超過一億,安裝這些套用的iPhone/iPad用戶可能泄露基本的信息。從不同信息來源統計,中招的APP包括:微信、網易雲音樂、滴滴出行、12306、中國聯通手機門市、高德地圖、簡書、豌豆莢、網易公開課、下廚房、51卡保險箱、同花順、中信銀行動卡空間等(更多見下圖)。

蘋果Xcode後門事件

Xcode到底是何方神聖?

Xcode 是蘋果公司提供的開發OS X和 iOS上的集成開發工具(IDE)。換句話說,如果想開發在Mac系統和iPhone手機上的套用,Xcode基本上就是不二之選。

但考慮到直接訪問蘋果官方站點下載Xcode太慢等原因,許多程式設計師為了方便,會不選擇從蘋果網站直接下載官方提供的Xcode,而是選擇從各大論壇、網盤上找第三方資源提供的Xcode程式。正是這個"圖方便"給惡意代碼形成了可乘之機。

病毒入侵方式

某安全實驗室負責人高雪峰:病毒入侵的是程式的"生產"流程:次的事件是從源頭上注入病毒和木馬到你的手機應用程式裡面,因為我們知道開發程式的時候是有編譯器的,生成移動客戶端的App程式,下載編譯器的時候,因為伺服器在國外,國內的開發者從官網更新的話會比較慢,所以在這種情況下好多國內站點會把編譯器Xcode在各種雲盤或者迅雷上發布,然後通過連結下載,下載的其實就是被感染病毒的,開發者開發自己程式的話,在開發程式的中因為下載了惡意的Xcode,編譯的時候不斷把惡意代碼輸入到程式裡面,輸入之後第三方開發者發布到App Store的話,App Store是檢測不出來的。

為何此事影響如此巨大?

根據i春秋學院信息安全專家李肖介紹,本次事件的始作俑者網名為"coderfun"(目前真實身份尚未查到),他在Xcode中加入了一段代碼,可將一些用戶的數據信息傳送到了一個假冒的蘋果官網(目前該網站已經關閉)。

李肖介紹,攜帶惡意代碼的Xcode壓縮檔檔案先是被發布到了Douban、SwiftMi、CocoaChina、OSChina等幾個論壇網站,然後又在百度雲出現了大量下載檔案。此外,它還成功感染了迅雷的離線伺服器,也就是說,如果程式設計師常用下載軟體是迅雷的話,就算輸入蘋果官網的地址下載下來的 dmg仍然有可能是被修改過的!

應該承認,這種直接把惡意代碼嵌入了開發工具源頭的另類傳播方式讓其在傳播廣度上獲得了非常好的效果--初步估計,目前受影響的用戶已經達到數億級別。

永信至誠創始人、被稱為國內白帽黑客之父的蔡晶晶在接受採訪時稱,這次事件足以載入移動安全的史冊,其對蘋果開發工具感染的技巧堪與著名的伊朗鈾濃縮設備被蠕蟲損壞的震網事件相提並論。震網事件由於西門子工業開發集成工具WinCC中被入侵者感染了惡意代碼,使與WinCC連線的工業控制系統被間接感染,最後導致了大量伊朗核工業設備物理損壞

蘋果Xcode後門事件蘋果Xcode後門事件


其它詞條