迷雾重重:XcodeGhost究竟是恶意病毒还是“无害的实验”?

随着XcodeGhost事件的持续发酵,安全圈在这个周末显得尤为热闹,各路消息、分析、猜测甚至“阴谋论”纷至沓来。技术调查、涉事厂商名单、补救措施,甚至对事件始作俑者展开了人肉搜索。

而今天凌晨XcodeGhost作者的道歉声明更是将事件推向高潮,大多数技术圈人士不约而同发出了责问:尽管你开源了,但真是“无害的实验”?号称影响了超过1亿用户(保守估计)的后门鬼魅,一句“苦逼iOS开发者的意外发现”就可以推脱?

尽管作者的“澄清”微博将整起事件轻描淡写,结尾还不忘祝周末愉快,祝福虽好,但这个周末注定会有技术人们愉快不起来(例如盘古移动团队的兄弟们可是一宿未眠啊)。

随着时间的推进,事件最终会走向何方,我们暂且不得而知。但通过对XcodeGhost事件整体的梳理后,我们却不难从中看到此次事件的影响力之大,波及面之广,以及待解的谜团是如此之多。

事件回顾

Xcode是苹果APP开发工具,XcodeGhost作者将恶意代码植入到Xcode安装包中并发布到了网上。不同的开发者出于一些原因没有从官网下载Xcode而是下载了含有恶意代码Xcode,于是编译出的APP包含恶意代码并最终走入了用户手中。

经多方研究发现,感染的APP会在程序开启和关闭时自动上传使用者的数据,若攻击者有心对此加以利用也可以轻松控制用户的设备,进行钓鱼攻击以及中间人攻击。

· 腾讯应急响应中心(TSRC)最先发现了这一问题,并在9月11日及时发布了微信更新。随着CNCERT发布预警公告,这个魅影逐渐显露出来。 · 9月16日,TSRC发现AppStore上的TOP5000应用有76款被感染;9月17日,国外安全公司Palo Alto发布第一版分析报告,随后阿里移动安全也发布了分析报告。 · 9月19日凌晨4:40,自称XcodeGhost作者现身微博,发文称XcodeGhost是“源于自己的实验,没有任何威胁性行为”,收集的是app信息:“APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息”并公布了源代码。

恶意影响堪称iOS应用史上之最大

目前,根据盘古团队最新发布的数据显示,已检测到超过800个不同版本的应用感染了XcodeGhost病毒。

之前公布的受影响APP(部分),括号内为版本号:

微信(6.2.5)、网易云音乐(2.8.3)、滴滴出行(4.0.0.6-4.0.0.0)、滴滴打车(3.9.7.1 – 3.9.7)、铁路12306(4.5)、51卡保险箱(5.0.1)、中信银行动卡空间(3.3.12)、中国联通手机营业厅(3.2)、高德地图(7.3.8)、简书(2.9.1)、开眼(1.8.0)、Lifesmart(1.0.44)、网易公开课(4.2.8)、喜马拉雅(4.3.8)、口袋记账(1.6.0)、豆瓣阅读、CamScanner、CamCard、SegmentFault(2.8)、炒股公开课、股市热点、新三板、滴滴司机、OPlayer(2.1.05)......

盘古目前仍在检测更多的应用, 紧急加班开发了一款病毒检测工具, 下载地址 x.pangu.io。苹果用户可以根据安装提示自行下载检测工具,迅速找到受影响APP。

究竟是谁挥刀斩苹果

在作者发言“澄清”之前一个多小时前,微博上曝出了XcodeGhost作者的个人信息(截图来自微博用户、360安全团队@矮穷龊-陆羽):

后来便是作者姗姗来迟的澄清:

“愿谣言止于真相,所谓的‘XcodeGhost’,以前试一次错误的实验,以后只是彻底死亡的代码而已。

需要强调的是,XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。”

当然,360安全团队迅速提出质疑,“你的解释很无力,一切都太蓄意,时间也对不上,隐藏自己,变换身份的行为也充分反驳了你的解...”。

接下来,腾讯安全团队也称:通过百度搜索“xcode”出来的页面,除了指向苹果AppStore的那几个链接,其余的都是通过各种id(除了coderfun,还有使用了很多id,如 lmznet、jrl568等)在各种开发社区、人气社区、下载站发帖,最终全链到了不同id的百度云盘上。

为了验证,团队小伙伴们下载了近20个各版本 的xcode安装包,发现居然无一例外的都被植入了恶意的CoreServices.framework,可见投放这些帖子的黑客对SEO也有相当的了解。

安全圈知名专家tombkeeper不仅发布了XcodeGhost作者的消息全文,还评价道:

“事闹大了,就会变成公安部督办案件,就几乎一定能破案,几乎一定能找到人。这时候无论自首还是跑路都比发‘澄清’有意义得多。”

鬼影:XcodeGhost的原型?

其实早在今年三月,外媒披露的报道中已经提及Xcode后门:

根据斯诺登近期爆料的文件显示,CIA在美国桑迪亚(Sandia)国家实验室开发了一款流氓版Xcode。这个版本的Xcode会在苹果开发者的电脑中植入后门,窃取他们的个人开发密钥。

巧合的是,流传的资料显示作者正是从今年三月份开始将Ghost传到网上。因此有网友戏称:XcodeGhost作者是CIA(hou zi)派(qing)来(lai)的(de)间(jiu)谍(bing)吗(ma)?

而与此观点相对应的,ZD至顶网安全频道今天评论称,“担忧是必要的,但还不至于引起恐慌”。文中以目前的公开信息来看,分析出:个人用户并不用担心隐私数据被泄露。多家安全机构分析显示,受感染的APP上报的信息仅是一些设备信息。

“当然,一个不能被验明正身的所谓澄清声明也不足以为信,最终结论还有待相关组织和机构的调查。”

孤军作战还是团队蓄谋?

黎明破晓后是电闪雷鸣-XcodeGhost事件之谜 一文中,安全专家RAyH4c对XcodeGhost作者的声明质疑道:

“这个声明有条有理,公关味之浓到呛鼻,还配上了源代码为自己澄清,我想说如果这件事是哥们你一个人做的,那你确实是天才,因为你以一己之力让全世界用户量最大的app感染上了你的病毒,你将载入史册。你觉得这样的剧情,背后没有团队,大伙信么?

Palo Alto Networks的报告给出了XcodeGhost的三个版本的分析,三个域名,同时还指出了盗取apple id的app木马也感染了这个病毒。那么我想问一下,另外两个版本的实验在哪,做了些什么事?!那些app本身就是个木马,还感染了病毒,真是耐人寻味。”

对苹果用户的安全建议

盘古团队成员告诉FreeBuf:目前形势依然严峻,他们还在加紧新版本检测工具的开发。对于恶意代码样本分析网上已经出现得很全了,不过又出现了变种。尽管“XcodeGhost作者”已经将代码开源,但是如果有人针对受感染的App进行中间人劫持等攻击手段,还是可以执行的。

因此,苹果用户万万不可掉以轻心。假设这是一场“实验”,那也已经步入了危险的境地。

首先,更换Apple ID密码。然后,检测到受影响的App如果有新版本发布,就尽量更新到最新,然后再次扫描。如果还有问题,则建议卸载,等待官方更新。

目前,苹果公司还未对此作出回应,但是已有不少受影响APP被从App Store下架。

苹果公司一直以自家封闭的iOS系统安全性和严格准入的APP Store市场引以为傲,Xcode后门不仅使iOS安全面临种种质疑,也让苹果被尴尬地打脸。今年陆续被曝出的iOS系统高危漏洞,此次后门事件的雪上加霜,也许人们该意识到——苹果并不是“永远安全的手机系统”。

另一种声音:“后门事件”炒的有点过火了

不过网络上也出现了另一种声音,有网友称:“如果XcodeGhost作者所说的属实(只收集APP信息),一个不具备威胁性质的代码怎么就算个后门了,又被扣上一个用户隐私被威胁的帽子。

你自己看看PC时代上面有多少数据正在被无声的上传中,更何况手机时代。要知道,安全发展已经停滞发展很久了。这就是一个无厘头的乌龙。尤其看到这句我就想笑:‘恶意程序的主要来源:百度网盘、迅雷等第三方平台。’”

注:根据腾讯的分析报告,黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口、在受感染的iPhone中弹出内容由服务器控制的对话框窗口。这两点足以说明该程序具有窃密性质,因此FreeBuf对上述说法存保留意见。

*本文作者:FreeBuf编辑部雪碧、明明知道,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-09-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏阮一峰的网络日志

Unix版权史

1. 这几天,我在读《Unix编程艺术》。 ? 书中介绍了Unix的发展历史。我发现,这是一个很好的例子,说明现行版权制度具有阻碍社会发展的负面作用。 2. U...

3504
来自专栏张叔叔讲互联网

浙江省初中信息技术八年级(上)-张叔叔划重点

与初中信息技术七年级的教材相比,八年级的教材真正的开始接触了互联网概念。八年级上册重点讲的是互联网的基础之网络,首先介绍了计算机网络,让大家对网络有个基本的认识...

811
来自专栏Web 开发

WebReBuild 2013 年会 蜕变

第一次知道这东西。主要是H1、article、header这类标签的层叠嵌套规则。在内容为王的时代,通过大纲算法出来的内容,有利于快速理解站点内容。人都容易读了...

730
来自专栏微信小开发

微信小游戏开发技术与应用

微信小游戏、H5小游戏、微信小程序之间的关系及区别,以及相关主要技术点及应用学习讨论。

3.1K28
来自专栏程序员宝库

小米上市股价大涨,造就了这些亿万富翁!谷歌正式开源Jib;财富中国500强:京东夺魁互联网

9 日,港股市场上的一件大事,就是明星新股小米正式登陆港交所挂牌交易。 尽管该股以招股价区间下限 17 港元开盘,但仍未能逃过破发的厄运,最终以 16.8 港元...

1514
来自专栏西枫里博客

IPv6终于要全面铺开了,地球上的每一粒沙子都将获得一个IP地址

11月26日中办国办发布了《推进互联网协议第六版(IPv6)规模部署行动计划》。根据计划部署,2018年年底,中国IPv6将拥有2亿用户,2020年达到5亿用户...

1021
来自专栏知晓程序

这些是 3 月里最「浪」的小程序

1004
来自专栏罗超频道

GMAIL教会我们:互联网服务不牢靠

GMAIL彻底无法访问,包括WEB和客户端。在Google退出中国之后的4年里,GMAIL每天都在抽风,过去也曾短暂地因为Google自身故障在几天之内连续无法...

2899
来自专栏大数据文摘

“被遗忘权”:大数据时代的隐私保护

29611
来自专栏程序员宝库

国内GitHub被曝造假,其背后的黑色产业链竟是......;安卓系统新漏洞曝光!Jetty 9.4.12发布

作为全球最大的开源社区,GitHub 对于程序员群体而言像是空气般重要的存在,而互联网公司也会通过 GitHub 来进一步了解面试者的编程习惯,技术水平等。

1421

扫码关注云+社区

领取腾讯云代金券