当前位置:首页 > 新闻资讯 > IT业界 > 新闻
苹果有“鬼” 一个开发工具引发的惨案
  • 2015/9/28 15:33:32
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:电脑报
  • 作者:本报记者 熊雯琳
【电脑报在线】 iOS一直以安全著称,也是其用户贬低Android的一个重要理由,可谁成想一夜之间,iOS上的恶意软件泛滥成灾,更无语的是这些恶意软件是由官方APP变成的,比Android市场上仿冒官方的恶意软件还令人莫名惊诧!

事件进展:从下架到上架 焦虑48小时

9月20日晚上11点多,国内某创业公司运营部负责人张扬(化名)刚从首都机场降落,就开始在手机里刷邮件和公司微信群。公司内部孵化的新APP已经上线半年了,刚刚度过调试阶段,进入用户口碑传播的高速增长期,加上他们部门刚刚投放的推广计划,软件的用户数每天都会增加500个以上。正因为如此,他才难得的申请到年假出去转了一圈,可没想才降落,就发现这两天的数据有大问题。从9月19日下午开始,软件的用户增长突然就停滞了,一直持续到9月20日。这时候张扬才看到公司邮箱里一封来自苹果的邮件,原来公司的软件被苹果下架了!

这封英文邮件让张扬刚刚度假完的好心情跌到谷底。邮件里大概是这样说的,原因是有感染Xcode的风险,并且通知他们从苹果的渠道下载Xcode,重新提交升级过的软件才能上架。张扬心里“咯噔”一下,完全顾不上刚下飞机,飞了十多个小时的疲惫,立马进入公司成立的小群里召开紧急会议。

张扬在网上搜索新闻才发现,很多大的商业软件也都被卷入了这场事件。国内知名“越狱”以及移动互联网安全研究团队盘古表示,已经检测到超过800个不同版本的应用感染了XcodeGhost病毒,更多的应用仍在检测中。

小贴士:什么是Xcode?

Xcode 是开发 iPhone / iPad 应用使用最广泛的开发工具,承担了将编程代码转换为可以实际运行程序的工作(简称编译)。Xcode 通常跟随着 iOS 操作系统的版本更新而升级,如果需要在应用中支持一些新功能,例如通知中心挂件,Apple Watch 上的应用。需要使用最新版本的 Xcode 进行开发,编译并提交至苹果,苹果审核后发布到 App Store。一般情况下,开发者应该通过苹果官方的 Mac 应用商店 (Mac App Store) 来下载正版的 Xcode,一个 Xcode 的大小通常在 2G ~ 4G 左右。

实际上,早在9月14日,CNCERT(国家互联网应急中心)发布预警,指出开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。但当时该预警并没有广泛引起人们注意。

此后,随着腾讯、阿里移动、乌云等多个安全公司发布报告并且公布受感染的APP,包括12306、滴滴出行、高德地图等热门应用,这件事情才开始发酵开来。

到9月19日,苹果公司开始下架受感染的APP。接着,张扬所在的公司也收到了来自苹果的下架通知邮件。

这可能是苹果APP Store上线以来,涉及用户数最多的一起安全事件。“这次事件影响很大,不然苹果不至于下架这么多的流行应用。”盘古团队的小G在接受本报记者采访时说道。截至目前,盘古团队已经检测出超过800个不同版本的应用感染了XcodeGhost病毒。

实际上,在业内人士看来,这是迄今为止手机行业最大的一次安全事件,至少有过亿用户受到影响。微信、高德地图、滴滴打车、网易云音乐等一些知名APP都在第一时间对外承认受到了XcodeGhost事件影响,不过这些公司在声明里都表示,这一事件不会对用户的信息安全造成威胁,并且已经发布了修复恶意程序的新版本应用,用户自行升级就可以解决。

直到9月22日深夜,整整48个小时过去,张扬所在公司的开发团队才重新上线了软件。“我们的开发是外包的,他们不仅处理了我们的软件,几乎两天无休的还处理了其它一些外包软件的重新上线。”张扬感觉这两天像打了一场仗,“以前没觉得安全事件和我们这类公司有太大关系,这次事件算是敲响了一次警钟。”

 

揭秘:XcodeGhost干了什么?

XcodeGhost到底干了什么?XcodeGhost就是一个源码病毒,所谓源码病毒就是可以将恶意代码加入编译器,这样编译器编译出的程序都自然携带后门,黑客可以使用这些后门来做坏事,具体到XcodeGhost就是收集iOS的全部信息,并在受感染iPhone中弹出内容由服务器控制的对话框窗口。

XcodeGhost作者通过第一个动作获得的信息来精确区分不同iPhone用户,然后再通过第二个动作实现进一步地攻击:可能是伪装成内购页面来套取你的iCloud密码;也可能是伪装成支付失败,请到某某支付宝付款的字样,来获得金钱等等。

 当然,这种攻击也是非常好识破的。比如XcodeGhost在伪装内购弹窗时,你会发现它需要你输入Apple ID。但用过苹果的朋友都知道,AppleID在iOS系统内部属于优先级很高的信息,内购弹窗一般都会默认填好Apple ID账号(除了AppStore之外),只需要你输入密码。所以一旦你发现需要手动输入Apple ID账号的应用弹窗,基本可以确定就是XcodeGhost的钓鱼行为了。

此外,苹果的iOS系统一直被认为很安全,因为苹果对于APP有着严格的安全审核机制。为什么会有数量如此庞大的商业软件中招?这次病毒为何能够轻易骗过苹果?

 一位不愿意具名的程序员对本报记者表示,“从苹果官方渠道升级Xcode速度太慢了,最少要十几个小时,中间中断了可能还要重新下载,这种速度对于讲究高效开发的来说,真是很耽误时间的事儿。”还有一位开发者也对本报记者表示,现在很多开发者为了赶进度用盗版软件是家常便饭,另外根本布可能对所有代码进行审查,这要耗费太大的精力。

 

分析:三大疑问解惑谜团

疑问一:潜在影响有多大?

在瑞星安全研究院院长刘思宇看来,本次攻击事件的发生绝非偶然,这是一次蓄谋已久的针对APP开发者的"水坑攻击",其危害之大、范围之广,史无前例,也很大程度上挑战了iOS以及苹果APP生态链的安全性。

实际上,类似XcodeGhost的攻击手段,是一种面向编译器的攻击,该类攻击并非其第一次被使用。 “2009年就出现过一个‘Delphi梦魇’的病毒,一旦感染配置文件,程序员所编译的所有应用程序都会带有病毒。还有针对CAD设计的病毒,黑客修改AUTO CAD的配置文件,致使生成的所有设计图都带有病毒,其他设计师一打开图纸就中毒,还有针对网络运维工程师的。”猎豹安全专家李铁军在接受本报记者采访时表示,以往这些安全事件主要出现在Windows平台上,iOS平台则是第一次。

    就在XcodeGhost事件还未过去,百度安全实验室在22日称发现了Unity-4.X被感染的样本,只是上线域名变更。盘古团布宣布有证据证明一些游戏引擎的下载地址也被感染病毒,例如Unity 和cocos2dx, 并且这些引擎的安卓版也被感染病毒,手段和之前一样。至此,本来安全问题就不少的安卓也卷入了这次事件。

根据公开资料介绍,Unity是由Unity Technologies开发的一个可创建三维视频游戏、建筑可视化、实时三维动画等类型互动内容游戏开发工具。其编辑器运行在Windows和Mac OS X下,可发布游戏至Windows、Mac、Wii、iPhone、Windows Phone 8和Android等平台。以Unity为引擎开发的游戏包括《纪念碑谷》、《炉石传说》、《神庙逃亡2》等。

Cocos是由触控科技推出的游戏开发一站式解决方案,其中Cocos2d-x是一个开源的移动2D游戏框架,其开发的项目可以很容易地建立和运行在iOS,Android,黑莓Blackberry等操作系统中,还支持Windows、Mac和Linux等桌面操作系统。

    但小G表示,“相比之下,安卓的影响会比苹果小很多,具体的我们还在评估。”

 

疑问二:个人行为还是黑产隐现?

在9月19日凌晨,自称XcodeGhost作者的人在微博发声明,称只是个人偶然发现并实行的实验项目,无威胁行为,并已在“十日前”关闭服务器删除数据。对于这样的解释无法让安全界人士信服,多家安全公司的技术人员对本报记者表示,这背后会是一个及其庞大的产业链导致的现象,没有那么简单。

有安全界人士对其行为追踪发现,半年前就有人开始在大量的iOS开发论坛上散步Xcode的下载链接,甚至还有人入侵某论坛版主的ID来修改下载链接,而这些链接全都指向了同一份网盘文件,如此大规模的非法扩散的举动,“个人做实验”的说法根本解释不同。

有网络工程师在微博上算了一笔账,“要达到此次事件如此庞大的数据收集,所需服务器租用费用起码就每个月50万美元,绝对不可能是‘苦逼iOS开发者个人一时兴起的实验’。”

小G也表示,这种手法以及一系列的行为不太可能是一个做出来的,应该是有一个团队在操盘,背后很可能是和黑色产业链有关。

还有安全行业相关人士透露,今年8月份的事后,一个代号为KeyRaider的恶意程序盗取了225000个Apple帐号,报告中提到KeyRaider曾向icloud-analysi*.c*m发送信息。“这有两种可能,第一种可能是XcodeGhost和KeyRaider是同一作者,还有一种可能是KeyRaider作者在2015年2至8月间也使用了感染XcodeGhost的开发环境。”上述人士表示,从代码分析结果表明第二种可能性较大。

这背后会是一个怎样的黑色产业链?尽管目前还没有太多证据指向,但据李铁军分析,这个黑色产业链幕后有几种可能:第一,收集用户行为数据做精准分析,比如出售给广告公司,用种毒的方式来实现广告投放和APP推广挣钱;第二是利用iCloud发广告信息和刷榜,这是针对没有启用双重验证的网民;这些都算是比较有底线的利用,还有第三种可能——远程锁定用户收集诈骗或者勒索。

 

疑问三:用户和开发者应该怎么办?

“我的手机安全吗?”“升级以后软件还能用吗?”“我在微信、12306都绑定过信用卡,会不会被盗刷?”以前对苹果安全信心十足的用户现在也变得十分惶恐。

从目前各个安全公司的报告来看,XcodeGhost收集的数据确实不涉及太敏感和关键的信息,目前尚无证据证实XcodeGhost有利用收集用户信息违法获利的行为,也没有收到用户损失方面的报告。从这个方面来说,即便安装了受影响的App,iPhone用户也不必过于紧张。

需要注意的是,之前已经有部分用户信息被发到目标服务器,尽管目前“投毒者”还没有动作,“真凶”也没有抓到,所以用户还是依然存在“潜在风险”。

安全人士建议,首先用户应该开启Apple ID两步验证。第二,XcodeGhost病毒可以在未越狱的 iPhone 上伪造弹窗进行钓鱼攻击,其生成的对话窗口仿真度非常高,很难辨别,因此用户如果在之前输入过iTunes密码,那么一定要尽快进行修改。第三,手机中安装了受到影响的App的用户,如果是常用的应用,就暂停使用,等开发者发布新的版本更新后再使用;如果是不常用的应用,可以直接卸载。第四,养成定期修改密码的好习惯。

猎豹移动表示,这件事给程序员敲响了警钟:要安全,首先得保证自己的开发工具安全。程序员被黑客暗算的事曾经多次发生,无论如何,建议使用正版、未被非法篡改过的开发工具编写程序,避免用户成为受害者;其次,编译环境、发布环境的安全值得注意,编译服务器和自动发布服务器,应保持干净的环境,不要随意安装来源不明的可疑软件。

 

采访手记:

一直将未越狱系统列为非常安全的苹果这次也栽了,栽在源代码病毒上。原因有很多,因为国内的防火墙,因为开发者的习惯,因为苹果的检测机制,因为等等原因。幸运的是,这次事件虽然波及的厂商数量众多,且很多用户数量非常庞大的APP诸如微信、滴滴出行、12306等都中招,但各家处理的还算迅速,侥幸逃过一次大的危机。

然而,这次事件却留给我们一个思考,我们的智能设备越来越多,手机、手表、手环、眼睛、耳机到智能家居等等,数据越来越多,留给我们的安全问题也就更多了。比如各类设备会纪录用户的个人数据,智能家居和智能汽车能够掌握的信息就更多了。在一些不同的场合,也有一些黑客演示在几分钟之类攻破顶级豪车的智能锁。在越来越智能的时代,用户的安全将被如何安放,也成为众多商业公司应该思考的问题。

本文出自2015-09-28出版的《电脑报》2015年第38期 A.新闻周刊
(网站编辑:ChengJY)


我来说两句(0人参与讨论)
发表给力评论!看新闻,说两句。
匿名 ctrl+enter快捷提交
读者活动
48小时点击排行
论坛热帖