页面

10/03/2015

iOS App安全危機,XcodeGhost木馬入侵多款中國軟體

在我們的印象中,蘋果出品的Mac和iOS裝置一向以安全著稱,反倒是用戶範圍廣得多的Windows裝置和Android裝置在安全問題上被詬病頗多。但是這種固有印象如今已經面臨了諸多挑戰,Mac之前已經局部崩潰,這一次iOS裝置則面臨了非常嚴峻的危機,簡單的補充下用iOS VPN來傳輸網絡直接的數據流會安全很多。

危機來自第三方Xcode工具


中國多個廠商的大牌應用使用了第三方途徑下載的Xcode開發工具(非Apple正規途徑),用了這個「李鬼開發工具」編譯出來的App被注入了第三方的程式碼,會向一個網站(http://init.icloud-analysis.com)上傳使用者資料,這個網站是病毒作者用來收集用戶資料的,而這個潛在了極大危害的病毒名叫XcodeGhost。Xcode是運行在作業系統Mac OS X上的集成開發工具(IDE),由蘋果公司開發,是開發OS X和iOS應用軟體的最快捷最普遍的方式。

哪些應用中招了?
不廢話,直接列表:
微信 6.2.5
網易雲音樂
滴滴出行
滴滴打車
12306
中國聯通手機營業廳
高德地圖
簡書
豌豆莢的開眼
網易公開課
下廚房
51 卡保險箱
同花順
中信銀行動卡空間

對台灣用戶影響比較大應該是微信6.2.5版。公司也發布公告請用戶盡速升級。
wechat安全公告

這是iOS開發者圖拉鼎自己測試的結果,上述是目前已經確定的名單,按照這個態勢,後續中招的iOS應用極有可能(實際上應該是一定會)繼續擴大。並且這個名單中還有很多金融股票相關的,潛在危害難以估量。

實際危害在哪裡?


一開始的時候,關注此事的iOS開發者表示這個事情的危害並不大,在隱私問題多多的現今,這種程度的洩露算不得什麼。但是!在仔細查察研究之後,這些人收回了前面的言論。微博用戶Saic稱:「拿文件看了一下,這個木馬劫持了所有系統的彈出視窗(例如IAP支付),然後向目標伺服器發送了加密數據,目前還不知怎麼解密發出去的請求。」比方說,在中毒的應用程式中進行一次IAP(In-App Purchase,智慧行動裝置應用程式付費的模式)內購,比如網易雲音樂中的Taylor Swift音樂包,此時輸入的密碼或者Touch ID後,就有加密數據發往目標服務器,現在不清楚加密信息是什麼。因此,下載了中招應用程式的用戶的密碼都存在著洩露的危險。所以,網易雲音樂公告所說的「目前感染製作者的伺服器已經關閉,不會再產生任何威脅」沒有錯,但是,之前已經有許多訊息被發往了目標伺服器了,網易等中招應用甩鍋的話,不能無視這一致命的前提。

開發者和用戶該怎麼做


iOS開發者周楷雯告訴愛范兒,做為開發者,首先檢校自己的Xcode開發工具是否中招,一切從第三方網站或者下載工具下載的Xcode都要刪除,包括從用官方地址透過迅雷來下載的,立即使用直接從官方App Store下載的最新版Xcode也是必須要動作。iOS開發者圖拉鼎在微博上還稱,有條件的公司應該在今天開始專門設置一台有專人管理的Build Server,所有發布至App Store的App只能從該台電腦Build並發布,以防止未來此類事件的再現。同時在傳輸網路間的數據時,使用VPN也是一個很好的選擇,可以保護您的傳輸信息安全。至於用戶,目前能做的除了祈禱自己不要洩露敏感訊息之外,第一時間做的肯定還是修改各種在iOS裝置上使用過的密碼,尤其是iCloud密碼,並且開啟兩步驗證,構築密碼之外的防火牆。