• XcodeGhost 背后的黑客是谁?
  • 发布于 2个月前
  • 197 热度
    0 评论
前言
今天中午吃饭时撇了一眼同事电脑,发现他正在用某网盘下载 Xcode,我大惊失色,赶紧叫停,然后在吃饭的路上滔滔不绝的讲起了 10 年前发生在 iOS 开发界的那场风波。

事件起因
10 年前在国内访问苹果的服务器有时很不稳定,导致很多人下载 Xcode 比较慢,就经常有人会把下载好的 Xcode 放到网盘上方便其他人下载。但毕竟不是通过官网途径,有一份安装包被人动了手脚,注入了一个名为 XcodeGhost 的框架,导致其编译出来的 App 会自动执行一些非开发者预期的功能。

爆发
腾讯安全团队在追踪一个 bug 时,意外发现 App 会自动收集一些信息发送到 icloud-analysis.com 这个域名,这时非预期的行为。具体收集的信息包括:app 版本、app 名称、语言、iOS 版本、设备类型、国家码等。随后他们还发现这份恶意注入的代码不仅能够收集信息,还能够执行代码,比如唤起另一个 App、打电话、发短信等等。

为了验证感染范围,他们抽查了 App Store 上其他的 App,一些 App 中也发现了相同的问题,他们顿时感到事关重大,立即把报告上报给了国家互联网应急中心(CNCERT),CNCERT 随即发布了预警消息。

iOS 知名开发者唐巧也在微博上称 Xcode 有可能被第三方代码注入:

同一天,乌云知识库、以及国外安全公司 palo alto 也发布了相关的分析报告,XcodeGhost 事件快速升温,成为行业热点。

事后的处理
苹果显然没有在 App 的审核期间发现问题,但是事件发生后火速对感染恶意代码的 app 进行了下架处理。被感染的 App 大都是国内应用,因此受到了下架的影响,开发人员使用苹果官方下载的 Xcode 进行打包后重新提交审核后上线。

影响范围
刚开始,腾讯的安全团队检测了 App Store 排名前 500 的应用,发现了 76 款被感染。9月19日,360 安全播报平台检测出了 344 款感染应用。截至2015年9月20日下午的通报,受感染 app 数量为 1078 款。

XcodeGhost 背后的黑客是谁?
随着事件的不断发酵和扩大,9月19日凌晨 4 点,一位自称是 XcodeGhost 作者发布微博道歉声明,说此次事件只是一次实验而已,并没有做过分的事情,并在 GitHub 上放出了相关源代码。大家感兴趣可以去 GitHub 上搜索一下,原仓库还在。

给我们的启示
理论上来说,任何第三方的下载网站都有风险,所以不管下载什么软件,都必须从官方下载。
用户评论