祸起,XcodeGhost
- 来源:计算机应用文摘 smarty:if $article.tag?>
- 关键字:XcodeGhost,苹果,唐巧 smarty:/if?>
- 发布时间:2015-10-16 15:38
就在前不久,苹果在中国爆发了有史以来最大的安全危机。有黑客通过向苹果APP开发工具Xcode内置恶意代码,使得很多开发者开发的APP中被植入了恶意代码,事件发生后,被卷入的各方几乎都是在互相推诿,一时之间好不热闹。
平地惊雷,病毒事件持续发酵
9月17日上午,《猿题库》iOS开发工程师唐巧发了一条微博,公布了他自己组建的iOS技术群里关于Xcode漏洞的讨论结果,并附上了软件是否包含Xcode恶意代码的检验方式。由于唐巧在iOS圈内的影响力,他的微博迅速被阿里移动安全资深工程师蒸米关注。9月17日下午1点,蒸米拿到了病毒样本,并开始进行初步分析,在和同事讨论后,他们决定给这个样本起名为“XcodeGhost”,并于当天下午5点写成了业界第一篇分析报告《XCode编译器里有鬼——XCodeGhost样本分析》发表在乌云网上。
乌云网是位于厂商和安全研究者之间的漏洞报告平台。经过乌云网的曝光,这件原本只在互联网安全圈子里的事件发酵开来,后有媒体开始介入报道,甚至有部分用户开始产生恐慌情绪。在随后的两天内,这个影响上亿用户的互联网安全大事件,让无数程序员在刚刚过去的这个周末加班熬夜打补丁。据不完全统计,有数百个APP牵涉其中,并且不乏《微信》、《网易云音乐》、《高德地图》和《同花顺》等知名APP。一个漏洞为什么会搅起这么大的风波?有个形象的比喻是——“炒菜的锅都不干净,还能指望端上桌的菜没有问题吗?”简单来说,Xcode是iOS系统下程序员最常用的开发工具,由苹果官方提供给开发者,它几乎是生成iOS应用的唯一工具。遗憾的是,苹果官方的下载源因为众所周知的原因下载极慢,再加上国内“码农”养成用百度搜索来下载各类应用工具的习惯,从而导致了XcodeGhost病毒的广泛传播。
9月18日,美国硅谷的palo alto networks安全公司也分析完了XcodeGhost样本,并发表了分析报告,提到《网易云音乐》等多家APP被感染。随后,一直沉默的苹果终于给出了回应,声称这次安全事件是黑客诱骗应用开发者使用了修改过的苹果应用开发工具Xcode,从而将恶意代码注入至这些应用。不过,苹果并没有透露,iOS用户采取哪种方式,来判断自己设备中有哪些应用是被感染的。在开发者们忙着递交APP修补版本时,苹果也改掉了往日慢悠悠的性子,加快了审核速度。很快,《网易云音乐》、《滴滴出行》和《微信》等APP都发布了漏洞修补版本。
在所有人忙得焦头烂额的时候,病毒的始作俑者也自己站了出来。9月19日,一个名为“XcodeGhost-Auther”的新注册微博号自称为病毒的作者,并发文澄清,“所谓的XcodeGhost只是苦逼iOS开发者的一次意外发现”,“出于私心,我在代码中加入了广告功能”。这些说法遭到了业内不少人的质疑,还有一些人认为,“虽然病毒作者声称并没有进行任何广告或者欺诈行为,但不代表别人不会代替病毒作者进行这些恶意行为。”
多人躺枪,推诿扯皮好不热闹
事实上,在编译器上装病毒的手法并不稀奇,它的学名叫做“源码病毒”,病毒代码附着在编译器中。早在1984年,Ken Thompson就曾在图灵奖演讲中提到过,如何在UNIX gcc编译器中动手脚的恶作剧。如今,当年的恶作剧已经变成了现实。只不过,病毒虽然不稀奇,但卷入事件中的各家公司的表现却耐人寻味。
事件发生后,国内多家公司都做出了回应。《网易云音乐》在微博发公告称,自家的iOS应用确实受XcodeGhost感染病毒的影响,iPhone端部分应用会上传产品自身的部分基本信息(安装时间、应用ID、应用名称、系统版本、语言和国家),均为产品的系统信息,无法调取和泄露用户的个人信息,由于目前感染源制作者的服务器已经关闭,因此不会再产生威胁。
除了《网易云音乐》,《滴滴出行》也在官方微博进行了回应。《滴滴出行》声称“关于XcodeGhost的问题,4.0版本可能会上传产品部分基本信息,但不会涉及到用户隐私。并且,感染源的服务器已被关闭,不会再产生任何威胁。《滴滴出行》第一时间处理了这个问题,并已更新版本,请大家放心使用。”一方面承认自己家APP会上传部分基本信息,一方面特意强调不会涉及用户隐私。而这边忙着发微博安抚用户,那边腾讯则开始揭秘整个事件。9月19日,腾讯安全应急响应中心发布了长文,以专业的角度对XcodeGhost事件进行还原和分析。值得注意的是,腾讯安全对自家产品——《微信》iOS版的漏洞只字未提。
与上述几位相比,百度和迅雷就有些“躺枪”的意味了。事件发生后,有网友猜测这次XcodeGhost病毒的泛滥有可能和迅雷有关。19日凌晨,迅雷发布公告澄清,称官方链接的Xcode经迅雷下载不会被植入恶意代码。而根据其查询离线下载的任务记录,染毒的Xcode6.4版本最早被迅雷会员用户添加到离线下载中时,并非来自苹果官方,而是来自有关网盘的URL。
迅雷所说的“有关网盘”,毫无疑问指的就是百度网盘。对此,百度方面也在9月21日作出了回应,表示百度在事件发生后立即启动了最高安全紧急响应流程,清查并关闭云盘上所有感染文件共享。百度方面还强调,污染包括下载工具、运营商下载通道等在内的下载途径,已经成为地下黑色产业链牟利的重要方法,这也大大增加恶意软件的影响范围。相关企业应该彻查安全隐患,排除脆弱点,对自身的安全体系和安全管理进行完善。显然,百度所说的“相关企业”,必然包括迅雷在内。
小编观点
目前来看,XcodeGhost尚未被证实给用户带来什么具体损失,分析显示,XcodeGhost代码完全具备随时进行恶意行为的能力,不过到目前为止,尚无证据证实XcodeGhost被用于除收集信息以外的恶意行为。但起码说明,苹果一向被认为安全性很高的金身已经告破。此次事件的最大影响是,它动摇了人们对于苹果安全的信心。有鉴于此,苹果在事件之后需要做的还有很多,如加强对APP的审核机制,增加Xcode下载服务器等。另外,国内众多卷入事件的公司也不应一味推卸责任,积极地直面问题才是应有之道。
文/陈文