根据国内著名安全技术论坛乌云漏洞平台报道,国内多家公司的ios App开发者使用了第三方途径下载的Xcode开发环境(非Apple正规途径),这些公司的开发者下载了被植入了恶意代码的iOS应用开发工具Xcode,导致其编译后应用感染上了一种名叫XcodeGhost的病毒,XcodeGhost病毒会自动发送信息至第三方远端服务器,XcodeGhost病毒不但会在app应用运行时窃取用户信息,并且非常有可能窃取用户的苹果iTunes密码。
Xcode是运行在Mac OS X 上的集成开发工具。该工具由苹果公司研发,是目前最常见的iOS应用开发工具。有一部分iOS开发者没有从苹果的官方渠道下载正规的Xcode开发工具,因为在苹果官方渠道在国内无法访问,而是需要魔法才能访问,所以这个开发者就会从国内的迅雷、百度网盘等第三方途径下载Xcode工具,而XcodeGhost病毒开发者正是利用了这一点。正是因为使用的是修改版的Xcode开发工具,所以编译出来的ios应用自然也就是携带病毒的了。
本次XcodeGhost木马病毒的泛滥有可能和迅雷有关,一些开发者称,即使地址用的是苹果官方地址,但是使用迅雷下载的Xcode依旧可以下载到被修改的带有木马病毒的Xcode,可能在这地址的解析过程中被文件修改了。
XcodeGhost病毒波及大量主流iOS应用
据360安全播报的统计,现在已知的被植入Xcode恶意代码的iOS应用有以下这些App,希望苹果手机上安装有这些App的网友们尽快升级到最新版本:
| 微信 | 6.2.5 |
| 网易云音乐 | 2.8.1 |
| 网易云音乐 | 2.8.3 |
| 网易公开课 | 4.2.8 |
| 图钉 | 7.7.2 |
| 同花顺 | 9.26.03 |
| 同花顺 | 9.60.01 |
| 铁路12306 | 2.1 |
| 天涯社区 | 5.1.0 |
| 天使房贷 | 5.3.0.2 – 5.3.0 |
| 三国名将 | 4.5.0.1 – 4.5.1 |
| 穷游 | 6.4.1 – 6.4 |
| 穷游 | 6.4.1 |
| 逆轉三國 | 5.80.5 – 5.80 |
| 南京银行 | 3.6 – 3.0.4 |
| 南方航空 | 2.6.5.0730 – 2.6.5 |
| 妈妈圈 | 5.3.0 |
| 联通手机营业厅 | 3.2 |
| 开眼 | 1.8.0 |
| 卷皮 | 3.3.1 |
| 简书 | 2.9.1 |
| 股票雷达 | 5.6.1 – 5.6 |
| 高德地图 | 7.3.8.1040 – 7.3.8 |
| 高德地图 | 7.3.8.2037 |
| 夫妻床头话 | 2.0.1 |
| 动卡空间 | 3.4.4.1 – 3.4.4 |
| 电话归属地助手 | 3.6.3 |
| 滴滴打车 | 3.9.7.1 – 3.9.7 |
| 滴滴出行 | 4.0.0 |
| 炒股公开课 | 3.10.02 – 3.10.01 |
| 百度音乐 | 5.2.7.3 – 5.2.7 |
| 自由之战 | 1.0.9 |
| 诊疗助手 | 7.2.3 |
| 造梦西游OL | 4.6.0 |
| 下厨房 | 4.3.1 |
| 下厨房 | 4.3.2 |
| 我叫MT2 | 1.8.5 |
| 我叫MT | 4.6.2 |
| YaYa药师 | 1.1.1 |
| YaYa | 6.4.3 – 6.4 |
| WO+创富 | 2.0.6 – 2.0.4 |
| WallpaperFlip | 1.8 |
| VGO视信 | 1.6.0 |
| UME电影票 | 2.9.4 |
| UA电影票 | 2.9.2 |
| Theme | 2.4 – 2.4 |
| Theme | 2.4.2 – 2.4 |
| Phone+ | 3.3.6 |
| Perfect365 | 4.6.16 |
| OPlayer Lite | 21051 – 2105 |
| MTP管理微学 | 1.0.0 – 2.0.1 |
| Mail Attach | 2.3.2 – 2.3 |
| Jewels Quest 2 | 3.39 |
| H3C易查通 | 2.3 – 2.2 |
| Digit God | 2.0.4 – 2.0 |
| Cute CUT | 1.7 |
| CarrotFantasy | 1.7.0.1 – 1.7.0 |
| CamCard | 6.3.2.9095 – 6.3.2 |
| Albums | 2.9.2 |
| AA记账 | 1.8.7 – 1.8 |
| 51卡保险箱 | 5.0.1 |
| 2345浏览器 | 4.0.1 |
针对XcodeGhost病毒事件,微信官方公告如下:
目前,网上传播微信6.2.5版本存在严重漏洞的说法,微信团队说明如下:
一、该问题仅存在iOS 6.2.5版本中,最新版本微信已经解决此问题,用户可升级微信自行修复,此问题不会给用户造成直接影响。
二、目前尚没有发现用户会因此造成信息或者财产的直接损失,但是微信团队将持续关注和监测。
三、微信技术团队具备成熟的“反黑客”技术,一旦发现黑客攻击,将第一时间做出技术对抗并及时锁定黑客具体信息,配合公安机关打击相关违法犯罪活动。
四、用户在使用微信过程中有任何问题,可通过微信公众号“微信团队”向我们反馈。
微信团队
2015年9月18号
迅雷的官方回应如下:
各位媒体朋友和迅雷用户:
对于今天爆出的Xcode被植入恶意代码一事,我们注意到有猜测称,迅雷服务器受到感染,导致使用迅雷会下载到含有恶意代码的Xcode。
迅雷第一时间安排工程师进行检测。工程师测试了乌云网原文中提到的Xcode6.4和7.0两个版本的下载,检查了索引服务器中的文件校验信息,并对比了离线服务器上的文件,结果都与苹果官方下载地址的文件信息一致。也就是说,官方链接的Xcode经迅雷下载不会被植入恶意代码。
感谢大家对迅雷的支持,请大家放心使用迅雷!
网易云音乐的回应公告如下:
受非官方渠道开发工具XcodeGhost“感染”影响,iPhone端部分应用会上传产品自身的部分基本信息(安装时间,应用id,应用名称,系统版本,语言,国家)。
此次感染设计信息皆为产品的系统信息,无法调取和泄露用户的个人信息。目前感染制作者的服务器已关闭,不会产生任何威胁。
再次感谢大家对网易云音乐一直以来的关注与支持。
据了解,病毒获取的信息包括一些iPhone和App的基本信息,例如时间,bundle id(包名),应用名称,系统版本,语言,国家等。病毒作者随后会把这些信息上传到init.icloud-analysis.co网站,该站并非苹果官方,而是病毒作者所申请的仿冒网站,目前该网站的服务器已经关闭。
刚刚,网易云音乐官方微博发布公告,称iPhone端应用确实遭到了感染,会上传产品自身部分基本信息(安装时间、应用ID、应用名称、系统各版本、语言、国家等。
网易表示,此次感染涉及信息皆为产品的系统信息,无法调取和泄露用户的个人信息。目前感染源制作者的服务器已经关闭,不会产生任何威胁。
但有分析人士指出,虽然XCodeGhost并没有非常严重的恶意行为,但是这种病毒传播方式在iOS上还是首次。也许这只是病毒作者试试水而已,可能随后还会有更大的动作,请开发者务必要小心。
有用户举报始作俑者的网名为coderfun,主要以各类 iOS 开发论坛和微博留言区为据点,提供带有病毒版本的 Xcode 网盘下载地址,其中包括了从 Xcode6.1-Xcode6.4 的所有版本,目前其真身不得人知。分析人士指出,病毒作者是个老手,而且非常小心,在代码和服务器上都没有留下什么痕迹。
还有有用户爆料称, XcodeGhost 病毒可以在未越狱的 iPhone 上伪造弹窗进行钓鱼攻击,其生成的对话窗口仿真度非常高,很难辨别。
所以使用过上述应用的用户,应该立刻修改自己的苹果iCloud密码,最好能加上“两步验证”,保护苹果iCloud账户的较好方法是启用“两步验证”,具体位置是:“我的 Apple ID”-“管理您的 Apple ID”,选择“密码和帐户安全”。在“两步验证”下,选择“开始设置”,用过用户修改过密码,那么今天申请,三天后才能开通。
但XcodeGhost事件并不表明苹果iOS的安全性相比安卓有什么问题,实际上,就开发环境来说,安卓也是一样的,苹果的开发软件下载速度很慢,而安卓的开发软件不用魔法根本无法从官网下载,大量安卓开发者都不是从官网下载的开发环境,很多开发工具来路不明,因此安卓很可能也存在类似问题。
2015年9月19日,XcodeGhost事件的始作俑者以 XcodeGhost-Author 的身份在新浪微博贴出致歉声明,声称 XcodeGhost只是一个实验性项目,并没有任何包含威胁性的行为。并且公开了源码。声明原文如下:
下面我们来看一下关于所谓“XcodeGhost”的澄清
首先,我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验,没有任何威胁性行为,详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost
所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现:修改Xcode编译配置文本可以加载指定的代码文件,于是我写下上述附件中的代码去尝试,并上传到自己的网盘中。
在代码中获取的全部数据实际为基本的app信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类 型。除此之外,没有获取任何其他数据。需要郑重说明的是:出于私心,我在代码加入了广告功能,希望将来可以推广自己的应用(有心人可以比对附件源代码做校 验)。但实际上,从开始到最终关闭服务器,我并未使用过广告功能。而在10天前,我已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。
愿谣言止于真相,所谓的”XcodeGhost”,以前是一次错误的实验,以后只是彻底死亡的代码而已。
需要强调的是,XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。
再次真诚的致歉,愿大家周末愉快。
发表回复