XcodeGhost

XcodeGhost

Xcode Ghost,是一種手機病毒,主要通過非官方下載的 Xcode 傳播,能夠在開發過程中通過 CoreService 庫檔案進行感染,使編譯出的 App 被注入第三方的代碼,向指定網站上傳用戶數據。

也就是說,開發者下載的非官方途徑的Xcode帶有XcodeGhost 病毒。之後在Unity與Cocos2d-x的非官方下載渠道程式上也發現了邏輯行為和XcodeGhost一致的同種病毒。

基本介紹

  • 外文名:XcodeGhost
  • 性質:手機病毒
  • 傳播:非官方下載的 Xcode 傳播
  • 危害:向指定網站上傳用戶數據
  • 領域:網路安全
蘋果手機病毒,感染途徑,XcodeGhost事件發展,情況分析,影響巨大,隱藏的惡意,遠未結束,官方責任,解決辦法,“作者致歉”,身份鎖定,敲響警鐘,

蘋果手機病毒

通過Xcode從源頭注入病毒Xcode Ghost,是一種針對蘋果套用開發工具Xcode的病毒。於2015年9月被發現。它的初始傳播途徑主要是通過非官方下載的 Xcode 傳播,通過 CoreService 庫檔案進行感染。當套用開發者使用帶毒的Xcode工作時,編譯出的App 都將被注入病毒代碼,從而產生眾多帶毒APP。
XcodeGhost
雖然Xcode官方下載渠道是在Mac App Store 里下載。但很多使用Mac筆記本的網友了解,Mac App Store 總是很難打開,導致有些著急程式設計師為了方便,直接使用國內的下載工具下載,因而也就下載到了帶有XcodeGhost 病毒的Xcode。使用這類“帶毒Xcode”製作、維護的套用則會跟著感染病毒。
蘋果的套用商店AppStore無法檢測出病毒,因為商店審核只能確定App調用了哪些系統API。於是帶毒套用順利進入蘋果官方商店。而廣大用戶則通過蘋果官方商店下載到了病毒套用。
用戶在iOS設備上安裝了被感染的APP後,設備在接入網際網路時APP會回連惡意URL地址init.icloud-analysis.com,並向該URL上傳敏感信息(如設備型號、iOS 版本)。回連的C&C伺服器會根據獲取到的設備信息下發控制指令,從而完全控制設備,可以在受控設備上執行打開網頁、傳送簡訊、撥打電話、打開設備上所安裝的其他APP等操作。由於蘋果套用商店是個相對封閉的生態系統,用戶一般都會充分信任從套用商店下載的APP,因此此次事件的影響面和危害程度前所未有,有可能是蘋果有史以來所面臨的最嚴重的安全危機。

感染途徑

Xcode官方下載渠道是在Mac App Store 里下載,很多使用Mac筆記本的網友了解,Mac App Store 總是很難打開的樣子。因此有些著急程式設計師為了方便,直接使用了國內的下載工具下載,因而也就下載到了帶有XcodeGhost 病毒的Xcode。

XcodeGhost事件發展

2015年9月12日,騰訊安全回響中心在跟進一個bug時發現有APP存在異常行為,開始檢測。發現異常流量APP都是大公司的知名產品,也是都是從AppStore下載並具有官方的數字簽名。
13日,騰訊知會中國國家網際網路應急中心CNCERT。
14日,CNCERT發布預警,指出開發者使用非蘋果公司官方渠道的Xcode工具開發蘋果應用程式(蘋果APP)時,會向正常的蘋果APP中植入惡意代碼。被植入惡意程式的蘋果APP可以在App Store正常下載並安裝使用。該惡意代碼具有信息竊取行為,並具有進行惡意遠程控制的功能。但當時該預警並沒有廣泛引起人們注意。
16日,騰訊安全回響中心稱:「發現 App Store上的 TOP5000 套用有 76 款被感染,於是我們向蘋果官方及大部分受影響的廠商同步了這一情況。」
17日,阿里移動安全發布分析報告,烏雲網發布分析報告,紛紛指出Xcode編譯器內有鬼。XcodeGhost事件在網上升溫發酵,引爆中國iOS生態鏈的眾多開發者。
18日,第一批受感染的APP陸續被曝光,當晚微博曝光第二份受感染APP名單。眾多著名的公司官方套用,包括銀行相關APP名列其中。
19日凌晨,自稱XcodeGhost作者的人在微博發聲明,稱只是個人偶然發現並實行的實驗項目,無威脅行為,並已在“十日前”關閉伺服器刪除數據。對此自辨,有業內人員表示可笑,算帳要達到這次事件龐大的數據收集,所需伺服器租用費每月就起碼50萬美元,絕不可能是“苦逼iOS開發者個人一時興起的實驗”。
19日上午,蘋果公司開始下架受感染的APP。
20日中午,CCTV新聞頻道的《新聞直播間》節目用長達8分鐘的視頻報導了XcodeGhost病毒事件,儘管疑似XcodeGhost的作者在網上聲稱只是“個人的”、“無害的”、“興趣實驗”,但央視採訪的一位技術專家稱作者蓄謀已久,半年前就已開始收集蘋果用戶的信息。傳聞已感染病毒的App已超過800款。
22日凌晨,病毒被證實還涉及其它平台與開發工具。百度安全實驗室稱發現Unity-4.X被感染的樣本,只是上線域名變更。盤古團隊宣布有證據證明一些遊戲引擎的下載地址也被感染病毒,例如Unity 和cocos2dx, 並且這些引擎的安卓版也被感染病毒,相同的手段,相同的黑產團隊。至此,安卓平台手機也難逃一劫。當晚人們還發現病毒製造者也曾發布過可疑Unity資源,並在Unity感染曝光後迅速刪除了當初的發布貼,抹殺證據。

情況分析

影響巨大

該病毒波及眾多產品,其中不乏大公司的知名套用,也有不少金融類套用,還有諸多民生類套用,保守估計影響人數就超過一億。
雖然從病毒樣本的分析看,泄露信息並沒涉及“太多”的隱私問題,但值得注意的是,病毒擁有更多的許可權。比如它們在iPhone/iPad上彈出釣魚網站頁面,可能騙取iCloud帳號密碼,或者其他關鍵信息,由於至今用戶於“蘋果官方市場”的絕對信任,這種詐欺極易成功。病毒甚至還可以操作具備偽協定能力的大量第三方App,其惡性後果難以估量。
事件意味著蘋果引以自豪的“封閉安全的AppStore”一樣可能傳播病毒。“蘋果官方市場=安全市場”的神話已經破滅。

隱藏的惡意

雖然疑似XcodeGhost的作者"codeFun"公開聲稱自己“無惡意”、“偶然”、“實驗而已”,令渴望安全感的用戶們有了自我安慰的藉口,但很快被發現自己想得太美好了。
1、業界對其行為的追蹤發現,在半年之前,就有人開始在大量的iOS開發論壇上散布Xcode的下載連結,甚至還有人入侵了某論壇版主的ID來修改下載連結,而這些下載連結全部指向了同一份網盤檔案,如此大規模的甚至非法擴散的舉動,“個人”、“做實驗”的說法根本解釋不通。
2、有網路工程師在微博上算了一筆賬,這種對用戶信息的收集,僅僅是使用海外伺服器的成本每月就要四五十萬美元。“這會只是一個苦×開發者的個人實驗?”
3、業內分析認為,進行這種黑客行為對製造者的技術水平要求很高,絕非一般人能夠所為,而且從其一系列行為來看,不大可能是一個人做出來的,應該是有一個團隊在操盤,背後很可能是和黑產產業鏈有關係。
4、烏雲知識庫有人查到病毒作者codeFun在7月就曾發布過可疑Unity資源,並且在9月22日凌晨Unity也被感染的訊息曝光後數小時內,迅速刪除了7月發布的資源貼。可見Unity的感染也有此人(團隊)手腳,而且曾故意且主動地散布過病毒。他(們)在19日的道歉文中甚至依然隱瞞著在Unity中的下毒行為。
發現他曾散布Unity可疑資源的網友驚呼:“他(們)竟然也一直沒睡,大半夜裡一直在看大家發微博觀察動靜?隨後發現大家知道了Unity也中毒的事情,趕緊去把自己曾經投毒的帖子刪了?”

遠未結束

在蘋果手機平台上,雖然XcodeGhost曝露的伺服器關閉了,但是受感染的App的行為還在,這些App依然孜孜不倦的向伺服器傳送著請求。這時候黑客只要使用DNS劫持或者污染技術,偽裝相關伺服器,就可以成功的控制這些受感染的App。
在安卓手機平台上,unity 4.6.4 – unity 5.1.1的開發工具都有可能被投毒。也就是說,除了iOS,安卓系統甚至是WP用戶也都面臨著同樣的安全問題。而這只是被發現感染的一種開發工具,其它開發工具也籠罩在投毒的陰影中。

官方責任

蘋果官方可能不會承擔任何責任,也不會有賠付。中國網際網路協會研究中心秘書長鬍鋼則向南都記者介紹:“從法律來說,目前所有軟硬體公司都會在協定中註明,如若發生潛在威脅,盡了通知的義務並及時採取補救措施,基本可不承擔責任。”
雖然對比此前微軟針對“衝擊波”病毒事件,蘋果方也許會有一部分的責任,同時也有義務對APP Store里的套用進行整合,包括設定Xcode在中國的伺服器。但法律人士分析認為:“大多數軟硬體公司,都會有協定表示,對潛在的、即發的意外情況,不承擔任何責任。”
因此這場事故最可能的結局是蘋果官方“冷處理”,隨時間推移事件逐漸淡出人們視線。

解決辦法

對於iOS用戶來說,首先不必太過慌張。XcodeGhost 病毒目前會上傳產品自身的部分基本信息(安裝時間,套用ID,套用名稱,系統版本,語言,國家)等,不會涉及到個人信息。另外,感染製作者的伺服器已關閉,已經不構成實質上的信息泄露。
需要警醒的是,之前已經有部分用戶信息被發往了目標伺服器,截至目前蘋果官方並沒有站出來給出解決方案,XcodeGhost病毒的“真兇”也沒有抓到。對於普通用戶來說,仍然需要多加小心。
XcodeGhost 病毒可以在未越獄的 iPhone 上偽造彈窗進行釣魚攻擊,其生成的對話視窗仿真度非常高,很難辨別,因此用戶如果在之前輸入過iTunes密碼,那么一定要儘快進行修改。
手機中安裝了受到影響的App的用戶,如果是常用的套用,就暫停使用,等開發者發布新的版本更新後再使用;如果是不常用的套用,可以直接卸載。目前沒有看到造成損失的案例,確實存在泄露個人關鍵信息的風險,還是建議用戶修改一下手機中的重要密碼。無論有沒有安全事件,定期修改密碼都是一個良好的習慣。

“作者致歉”

2015年9月19日,自稱XcodeGhost作者致歉。今日早間,有部分微博網友貼出了一個自稱是XcodeGhost作者的致歉,聲稱是個“苦X程式設計師的”、“無害的”、“實驗”,同時承認自己出於私心,在代碼里加入了廣告功能,並說自己在10天前,已主動關閉伺服器,並刪除所有數據。
這一聲明未得到任何官方的驗證,未表明此人就是XcodeGhost作者,更未證實作者是個人而非團隊。
這輕描淡寫的致歉被指出毫不可信。事後業界也大量發現了製作者蓄謀已久、惡意擴散的證據。尤其是幕後伺服器資金每月高達幾十萬美元,絕不是一個人能承擔的,更不可能是“一時興起作個實險”。

身份鎖定

360團隊對其行為的追蹤發現,在半年之前,就有人開始在大量的iOS開發論壇上散布Xcode的下載連結,還有人入侵了某論壇版主的ID來修改下載連結,這些下載連結全部指向了同一份網盤檔案,如此大規模的舉動,做實驗的說法根本解釋不通。有網路工程師在微博上算了一筆賬,這種對用戶信息的收集,僅僅是使用海外伺服器的成本每月就要四五十萬美元。“這僅僅是個苦×開發者的個人實驗?”
進行這種黑客行為對製造者的技術水平要求很高,絕非一般人能夠所為,從其一系列行為來看,不大可能是一個人做出來的,應該是有一個團隊在操盤,背後很可能是和黑產產業鏈有關係。
360公司表示,目前已經通過技術手段基本鎖定了病毒製造者的身份,並且已經報警,正在配合警方進行調查。不過360相關人士表示,在警方結案前還不能公布關於病毒製造者身份的更多細節。在多個渠道獲得的信息來看,病毒製造者並非一個人,其中一名主要成員曾是國內某名校的保送研究生,不過已經退學。

敲響警鐘

這件事給程式設計師敲響了警鐘:要安全,首先得保證自己的開發工具安全。程式設計師被黑客暗算的事曾經多次發生,無論如何,建議使用正版、未被非法篡改過的開發工具編寫程式,避免用戶成為受害者;其次,編譯環境、發布環境的安全值得注意,編譯伺服器和自動發布伺服器,應保持乾淨的環境,不要隨意安裝來源不明的可疑軟體。
安全行業業內人士表示,這一次的事件給蘋果在安全機制上敲響了警鐘,讓蘋果注意到自身安全機制存在的漏洞,相信蘋果會修補這次安全事件造成的影響,在安全審查上變得更加嚴格。

相關詞條

熱門詞條

聯絡我們