iOS App 安全危机,XcodeGhost 木马入侵多款中国软体

所属栏目:N生活节 2020-06-07 11:22:46 来源于:http://www.vns2021.com
iOS App 安全危机,XcodeGhost 木马入侵多款中国软体

在我们的印象中,苹果出品的 Mac 和 iOS 装置一向以安全着称,反倒是用户範围广得多的 Windows 装置和 Android 装置在安全问题上被诟病颇多。但是这种固有印象如今已经面临了诸多挑战,Mac 之前已经局部崩溃,这一次 iOS 装置则面临了非常严峻的危机。

危机来自第三方 Xcode 工具

中国多个厂商的大牌应用使用了第三方途径下载的 Xcode 开发工具(非 Apple 正规途径),用了这个「李鬼开发工具」编译出来的 App 被注入了第三方的程式码,会向一个网站(http://init.icloud-analysis.com)上传使用者资料,这个网站是病毒作者用来收集用户资料的,而这个潜在了极大危害的病毒名叫 XcodeGhost。

Xcode 是运行在作业系统 Mac OS X 上的集成开发工具(IDE),由苹果公司开发,是开发 OS X 和 iOS 应用软体的最快捷最普遍的方式。

根据安全网站 Wooyun 的披露,即使把苹果官网上的下载 URL 複製到迅雷里下载,最终下载到的还是一个有毒的第三方 Xcode 开发工具,同理,另外从百度网盘上下载的 Xcode 编译器也中招了,目前来看,除了从苹果官方直接下载之外,任何第三方来源,甚至第三方下载通路的 Xcode 工具都不能保证安全。

来自 Wooyun 的文章称:

并且,在后续的追蹤中,发现 http://init.icloud-analysis.com 这个网站的服务器已经关闭,也挖掘不到太多讯息,目前也还找不到这个老道病毒作者的痕迹。

也有网友举证说,有网名为「coderfun」的投毒者在各种 iOS 开发者论坛或者微博下留言放下载地址引诱 iOS 开发者下载有毒版本的 Xcode。并且中毒的版本不止 Xcode 6.4,还有 6.1,6.2 和 6.3 等等。

哪些应用中招了?

不废话,直接列表:

iOS App 安全危机,XcodeGhost 木马入侵多款中国软体

对台湾用户影响比较大应该是微信 6.2.5 版。 公司也发布公告请用户尽速升级。

这是 iOS 开发者图拉鼎自己测试的结果,上述是目前已经确定的名单,按照这个态势,后续中招的 iOS 应用极有可能(实际上应该是一定会)继续扩大。并且这个名单中还有很多金融股票相关的,潜在危害难以估量。

在 XcodeGhost 病毒被曝光后,被确认中招的网易云音乐马上发布公告:

但是事实真的如此吗?

实际危害在哪里?

一开始的时候,关注此事的 iOS 开发者表示这个事情的危害并不大,在隐私问题多多的现今,这种程度的洩露算不得什幺。但是!在仔细查察研究之后,这些人收回了前面的言论。

四叶新媒体联合创始人,微博用户 Saic 称:

比方说,在中毒的应用程式中进行一次 IAP(In-App Purchase,智慧行动装置应用程式付费的模式)内购,比如网易云音乐中的 Taylor Swift 音乐包,此时输入的密码或者 Touch ID 后,就有加密数据发往目标服务器,现在不清楚加密信息是什幺。因此,下载了中招应用程式的用户的密码都存在着洩露的危险。

所以,网易云音乐公告所说的「目前感染製作者的伺服器已经关闭,不会再产生任何威胁」没有错,但是,之前已经有许多讯息被发往了目标伺服器了,网易等中招应用甩锅的话,不能无视这一致命的前提。

开发者和用户该怎幺做

iOS 开发者周楷雯告诉爱范儿,做为开发者,首先检校自己的 Xcode 开发工具是否中招,一切从第三方网站或者下载工具下载的 Xcode 都要删除,包括从用官方地址透过迅雷来下载的,立即使用直接从官方 App Store 下载的最新版 Xcode 也是必须要动作。iOS 开发者图拉鼎在微博上还称,有条件的公司应该在今天开始专门设置一台有专人管理的 Build Server,所有发布至 App Store 的 App 只能从该台电脑 Build 并发布,以防止未来此类事件的再现。

至于用户,目前能做的除了祈祷自己不要洩露敏感讯息之外,第一时间做的肯定还是修改各种在 iOS 装置上使用过的密码,尤其是 iCloud 密码,并且开启两步验证,构筑密码之外的防火墙。

相关文章
菲律宾申博太阳城_金沙手机下载|日常生活信息|有价值的信息|网站地图 娱乐天地线路检点 信誉体育网站