XcodeGhost风波
XcodeGhost风波,为中国大陆地区App Store中的部分iOS应用程序被称为“XCodeGhost”的第三方恶意代码注入,而产生了一系列的问题,包括可能的隐私泄漏、广告点击。
因为属于开发者端的程序污染,所以即便是未越狱的iOS用户从苹果官方App Store下载应用也可能存在风险。
事件发展
编辑XcodeGhost植入
编辑Xcode为苹果公司所发行、供程序员开发OS X、iOS、watchOS与tvOS应用程序的集成开发环境(IDE),在Mac App Store中免费提供。由于网络审查导致中国大陆用户访问Mac App Store有连接困难,部分开发者出于方便选择了国内第三方渠道下载(如百度网盘、迅雷离线等)或者从社交平台查找获得开发程序,由此带来了安全隐患。
而这部分Xcode的框架库中被加入了被称为“XcodeGhost”的框架库,导致其编译出来的App都带有后门代码,会在最终客户端运行时将隐私信息提交给第三方。[1]
爆发
编辑根据已经披露的文档,腾讯安全应急响应中心在跟踪某app的bug时发现异常流量,解析后上报了中国国家互联网应急中心(CNCERT)[1],后者随即在2015年9月14日发布了预警消息[2]。之后也有其他国家的信息安全组织跟进调查。
在2015年9月17日左右,新浪微博用户“@唐巧_boy”发布微博声称Xcode有可能被第三方代码注入,而在社交平台上引起轩然大波。乌云网后续发布相关的知识库文章[3]。
当事人陈述
编辑2015年9月19日凌晨4时许,新浪微博上出现一名“XcodeGhost-Author”的新用户发布一条微博消息,声称XcodeGhost只是一个实验性质项目;随后GitHub上的同名项目页面也刊载同样的声明[4]。
应急处理
编辑苹果方面虽然事前缺乏对程序的安全审核,但是事件发生后火速对感染恶意代码的app进行了下架[5]。
部分中国大陆地区开发商的App因此受到影响,因此对其受污染的App使用正规渠道下载的Xcode进行编译后重新上线。
受感染应用
编辑受到影响的app程序众多,据称受感染的app多达76个[6],而记载着app名单的截图应该来自“360安全播报平台”,其将在2015年9月19日更新的消息中将受XcodeGhost感染的app数量上调为344款[7];而截至2015年9月20日下午的通报,受感染app数量为1078款[7]。
知名度较高的部分app如:微信、网易云音乐、滴滴打车、高德地图、12306、同花顺、中信银行动卡空间、简书等。涉及包括即时通讯软件、地图应用甚至金融服务产品。
苹果公司对此事进行了公开声明[8],并对于部分感染app进行了下架处理[5];从2015年9月20日开始,部分下架程序重新编译后上架,但各厂商对此态度不同,微信的版本更新中并未说明原因,而网易云音乐则注明为“修复XcodeGhost问题”[9]。
影响
编辑- 事件相关
- 中国官方媒体的中央电视台报道了该事件[10],且在节目中援引专家说法,对所谓作者的无害声明进行质疑。
- 安全网站如乌云、腾讯安全中心,自媒体月光博客等也在该事件中作为信息发布平台提供支持。
- 虽然苹果公司发布了声明并对感染应用做了下架处理[8],然而风险仍然存在,即如果用户下载了受感染应用而没有更新,恶意代码仍然有被运行风险。苹果对此也并没有对所有用户发布推送性质的通告。
- 腾讯科技在2015年9月21日发表了署名“梁辰”的相关评论文章[11],箭头直指苹果的安全防御机制,解释相关黑色产业链的存在;然而最后段落中,对于开发者不恰当使用第三方渠道下载XCode工具,该文批评指“每次下Xcode花个几十分钟非常正常,这才造成大家都用迅雷和百度网盘这种非官方渠道”。此外,文中错误指称肯·汤普逊言及‘编译Unix代码的C编辑器里留有“后门”’,事实为Ken在其论文《Reflections on Trusting Trust》中阐述的若不校验基于信任的信任,那么编译器出现问题时则会影响全局安全性[12],与本次事件有相似度。
- 安全问题外延
原因
编辑- 因为苹果公司的App Store等服务在中国大陆有访问缓慢的问题。部分开发者选择了从非正规的第三方渠道下载包,这为恶意软件开发者散布恶意代码提供可乘之机,通过在大陆地区各大苹果开发社交网站散布自己带有后门框架的Xcode来诱使开发人员使用,从而埋下隐患。[11]
参见
编辑- iOS应用程序审核
- Xcode(苹果开发包)
- 防火长城(中国大陆访问境外网站受限的阻挡)
- 僵尸网络
- 2014年8月名人照片泄露事件(曾经发生的iCloud泄露事件)
参考资料
编辑- ^ 1.0 1.1 Gmxp. 你以为这就是全部了?我们来告诉你完整的XCodeGhost事件. 腾讯安全应急响应中心. 2015-09-19 [2018-08-06]. (原始内容存档于2018-08-06) (中文(简体)).
- ^ 关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报. 国家互联网应急中心. 2015-09-14 [2018-07-06]. (原始内容存档于2018-08-06) (中文(简体)).
- ^ XCode编译器里有鬼 – XCodeGhost样本分析. 乌云. 2015-09-17 [2015-09-20]. (原始内容存档于2015-09-20) (中文(简体)).
- ^ XcodeGhost (页面存档备份,存于互联网档案馆) GitHub上的XcodeGhost项目
- ^ 5.0 5.1 苹果App Store火线下架遭感染的软件 (页面存档备份,存于互联网档案馆) — cnbeta
- ^ 苹果App被置病毒全部名单 不是只有20多个而是76个 (页面存档备份,存于互联网档案馆) — techweb
- ^ 7.0 7.1 已知有后门的iOS App (页面存档备份,存于互联网档案馆) — 360安全播报平台
- ^ 8.0 8.1 Apple. 有关 XcodeGhost 的问题和解答. 苹果公司官方网站. [2015-09-27]. (原始内容存档于2015-09-27) (中文(中国大陆)及英语).
- ^ 网易. 网易云音乐. iTunes. 2015-09-26 [2015-09-26]. (原始内容存档于2015-09-26) (中文(中国大陆)).
- ^ 苹果手机多款应用程序现“后门” (页面存档备份,存于互联网档案馆) — cntv
- ^ 11.0 11.1 《苹果遭遇信任危机:苹果APP也会被黑》 (页面存档备份,存于互联网档案馆) - 腾讯科技
- ^ Thompson, Ken. Reflections on Trusting Trust. Communications of the ACM. August 1984, 27 (8): 761–763 [2015-10-05]. doi:10.1145/358198.358210. (原始内容存档于2012-05-25).
- ^ 不止Xcode,网曝游戏开发工具Unity4.X被植入恶意代码 - XcodeGhost,Xcode,病毒 - IT之家. [2015-09-24]. (原始内容存档于2022-04-26).
- ^ Unity和cocos 2d-x回应XcodeGhost污染_国内动态 - 07073产业频道. [2015-09-24]. (原始内容存档于2020-05-15).
- ^ 你以为服务器关了这事就结束了? - XcodeGhost截胡攻击和服务端的复现,以及UnityGhost预警 (页面存档备份,存于互联网档案馆) - 乌云
- ^ XcodeGhost. [2015-09-20]. (原始内容存档于2022-05-16).
- ^ 雪碧; 明明知道. 迷雾重重:XcodeGhost究竟是恶意病毒还是“无害的实验”?. Freebuf. 2015-09-19 [2020-07-05]. (原始内容存档于2018-01-21).
- ^ 黄彦棻. XcodeGhost風暴事件大剖析. 电周文化事业. 2015-10-13 [2017-12-13]. (原始内容存档于2021-05-14).
外部链接
编辑- GitHub上的XcodeGhost页面
- Greatfire组织:中国流行的iOS应用遭到前所未有的恶意软件感染(简体中文)
- 关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报 (页面存档备份,存于互联网档案馆) 国家互联网应急中心 2015-09-14
- 你以为这就是全部了?我们来告诉你完整的XCodeGhost事件 (页面存档备份,存于互联网档案馆) — 腾讯安全应急响应中心
- Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述 (页面存档备份,存于互联网档案馆),安天实验室(简体中文)
- 《针对此次XcodeGhost攻击行为的分析》 (页面存档备份,存于互联网档案馆)
- Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store (页面存档备份,存于互联网档案馆) 安全公司 Paloalto networks 的分析报告(英文)
- Solidot:报道称XcodeGhost开发者已被控制 (页面存档备份,存于互联网档案馆)(简体中文)