百款應用全中毒，蘋果安全陷信任危機

上周，蘋果App Store遭遇了自上線以來堪稱最大規(guī)模的攻擊—— XcodeGhost木馬后門病毒，涉及應用數量超過想象，包括“國民app”微信、百度音樂、網易云音樂、滴滴出行、高德地圖、同花順、12306、58同城、工銀融e聯等大量知名的app均被滲透。

但萬幸的是，XcodeGhost還在“試探性”階段就被及時曝光，用戶可以通過升級版本，更改密碼來及時補上漏洞。記者了解到，這已經不是蘋果第一次遭受木馬病毒攻擊。2012年，Flashbake木馬病毒爆發(fā)，74.8萬臺蘋果計算機被感染，蘋果公司被迫將“It doesn't get PC viruses”(它不會感染電腦病毒)的宣傳語悄然替換為“It's built to be safe”(它致力于搭建安全的系統(tǒng))。

而這次木馬病毒的感染，波及用戶可能上億，很多用戶在未使用“越獄”版本的情況下，依然無辜中招兒，這讓蘋果iOS系統(tǒng)的安全防線陷入前所未有的信任危機。

XcodeGhost是何方妖孽?

據華為北京研究院一位系統(tǒng)研發(fā)人員介紹，一款app的發(fā)布，比如微信、滴滴、58同城等，首先是要編寫源代碼，在編寫完成后，則需要將代碼編譯成“可執(zhí)行的文件”進行打包發(fā)布。蘋果iOS app的開發(fā)需要通過蘋果自家出的Xcode，把源代碼編譯為可執(zhí)行的app，開發(fā)者才能把app上傳到蘋果應用商店后臺，經過蘋果官方審核后，app在應用商店App Store上架，正式開放下載。

“這本來沒什么問題，但由于Xcode 體積較大，有幾個GB，國內開發(fā)者如果直接從蘋果下載的話速度非常緩慢。XcodeGhost木馬的開發(fā)者利用了這一點，將加了后門木馬的Xcode工具上傳到國內網盤上，然后在各種iOS開發(fā)論壇發(fā)帖、回復進行散播。”該研發(fā)人員說。

由于木馬作者提供的Xcode版本齊全，國內網盤下載速度相比蘋果官網也更加快速，各大公司的程序員在想要下載Xcode時只要輕輕搜索一下就上鉤了。然而，這個“加了料”的Xcode會在程序員編譯app的時候偷偷自動地把XcodeGhost的惡意代碼也一并編譯進去了，但“程序猿”們對此毫不知情。

“按道理，每款app被放置到蘋果的官方應用商店供用戶下載前，是需要通過蘋果平臺的檢測的。”該研發(fā)人員告訴記者，遺憾的是蘋果也沒有檢驗出應用里含有木馬病毒，很多app用戶因此中招兒。

上百款app被感染

XcodeGhost就像無處不在的“幽靈”一樣，成為蘋果iOS app此次“集體中毒事件”的罪魁禍首。那么，有哪些app中招兒了呢?很不幸，有“國民app”之稱的微信iPhone版6.2.5，已經確認被感染。

9月18日21時43分，微信團隊通過官方微博稱：“網上傳播微信6.2.5版本存在嚴重漏洞的說法，微信團隊說明如下：該問題僅存在iOS 6.2.5版本中，最新版本微信已經解決此問題，用戶可升級微信自行修復，此問題不會給用戶造成直接影響。”

微信團隊在聲明中表示，“目前尚沒有發(fā)現用戶會因此造成信息或者財產的直接損失。”

據不完全統(tǒng)計，目前已發(fā)現上百款app感染了XcodeGhost木馬，其中不乏百度音樂、微信、高德地圖、滴滴、58同城、網易云音樂、12306、同花順、南方航空、工銀融e聯、名片全能王、憤怒的小鳥2等用戶量極大的app，涉及互聯網、金融、鐵路航空、游戲等領域。

據了解，在用戶使用了被植入XcodeGhost惡意代碼的app后，app會自動向病毒制造者的服務器上傳諸如手機型號、系統(tǒng)版本、應用名稱、應用使用時間、系統(tǒng)語言等隱私信息。

一位用戶名為“唐巧_boy”的網友發(fā)微博稱：“XcodeGhost這件事情,蘋果自己也有責任，Mac App Store下載速度慢得要死，每次下Xcode花個幾十分鐘非常正常，這才造成大家都用迅雷和百度網盤這種非官方渠道。就說現在吧，我的Mac系統(tǒng)更新了一上午，還是處于卡頓無進度狀態(tài)。說多了都是淚。”

蘋果用戶可修改賬戶密碼

對于此次病毒風波，蘋果已經開始對受感染的app進行下架了，木馬制造者用于接收竊取信息的服務器目前也被關閉。

但業(yè)內人士建議，基于安全的考慮，如果在近一段時間(1至2個月內)，普通用戶在這些受影響的應用中輸入過敏感信息，如icloud密碼、信用卡信息等，最好對涉及的密碼、支付方式等進行修改，建議開通蘋果賬號的二步驗證以防賬號被盜或被利用。

對于普通的蘋果用戶，建議暫停使用這些受感染的app，并在設置里關閉其“后臺刷新”，或下載已經彌補漏洞的最新版本。

此次事件應該是蘋果App Store自上線以來遭受的規(guī)模最大的攻擊了，涉及應用數量超過想象，但萬幸的是XcodeGhost還在“試探性”階段就被及時曝光，倘若病毒再升級，增加更多功能，如對各種密碼輸入框進行監(jiān)聽等，很有可能成為中國甚至全球涉案金額最高的黑客事件之一。因此，蘋果的安全審查策略亟待提升。

這次事件也對各大網絡公司的開發(fā)人員敲響了警鐘。對于信任他們的用戶來說，開發(fā)者有責任從源頭予以保證，包括代碼來源的安全干凈及使用正版蘋果系統(tǒng)。使用iOS設備也不要嘗試越獄，這等于是給黑客開啟了安全門。