在我们的印象中,苹果出品的 Mac 和 iOS 设备一向以安全著称,反倒是用户范围广得多的 Windows 设备和 Android 设备在安全问题上被诟病颇多。但是这种固有印象如今已经面临了诸多挑战,Mac 之前已经局部崩溃,这一次 iOS 设备则面临了非常严峻的危机。 危机来自第三方 Xcode 工具国内多个厂商的大牌应用使用了第三方途径下载的 Xcode 开发工具(非 Apple 正规途径),用了这个“李鬼开发工具”编译出来的 App 被注入了第三方的代码,会向一个网站(http://init.)上传用户数据,这个网站是病毒作者用来收集用户数据的,而这个潜在了极大危害的病毒名叫 XcodeGhost。 Xcode 是运行在操作系统 Mac OS X 上的集成开发工具(IDE),由苹果公司开发,是开发 OS X 和 iOS 应用程序的最快捷最普遍的方式。 根据安全网站 Wooyun 的披露,即使把苹果官网上的下载 URL 复制到迅雷里下载,最终下载到的还是一个有毒的第三方 Xcode 开发工具,同理,另外从百度网盘上下载的 Xcode 编译器也中招了,目前来看,除了从苹果官方直接下载之外,任何第三方来源,甚至第三方下载渠道的 Xcode 工具都不能保证安全。
并且,在后续的追踪中,发现 http://init. 这个网站的服务器已经关闭,也挖掘不到太多信息,目前也还找不到这个老道病毒作者的痕迹。 也有网友举证说,有网名为”coderfun”的投毒者在各种 iOS 开发者论坛或者微博下留言放下载地址引诱 iOS 开发者下载有毒版本的 Xcode。并且中毒的版本不止 Xcode 6.4,还有 6.1,6.2 和 6.3 等等。 哪些应用中招了?不废话,直接列表: 网易云音乐 滴滴出行 12306 中国联通手机营业厅 高德地图 简书 豌豆荚的开眼 网易公开课 下厨房 51 卡保险箱 同花顺 中信银行动卡空间 这是 iOS 开发者图拉鼎自己测试的结果,上述是目前已经确定的名单,按照这个态势,后续中招的 iOS 应用极有可能(实际上应该是一定会)继续扩大。并且这个名单中还有很多金融股票相关的,潜在危害难以估量。 在 XcodeGhost 病毒被曝光后,被确认中招的网易云音乐马上发布公告:
但是事实真的如此吗? 实际危害在哪里?一开始的时候,关注此事的 iOS 开发者表示这个事情的危害并不大,在隐私问题多多的现今,这种程度的泄露算不得什么。但是!在仔细查看研究之后,这些人收回了前面的言论。 四叶新媒体联合创始人,微博用户 Saic 称:
比方说,在中毒的应用 中进行一次 IAP(In-App Purchase,智能移动终端应用程序付费的模式)内购,比如网易云音乐中的 Taylor Swift 音乐包,此时输入的密码或者 Touch ID 后,就有加密数据发往目标服务器,现在不清楚加密信息是什么。因此,下载了中招应用的用户的密码都存在着泄露的危险。 所以,网易云音乐公告所说的“目前感染制作者的服务器已经关闭,不会再产生任何威胁”没有错,但是,之前已经有许多信息被发往了目标服务器了,网易等中招应用甩锅的话,不能无视这一致命的前提。 开发者和用户该怎么做iOS 开发者周楷雯告诉爱范儿,作为开发者,首先检校自己的 Xcode 开发工具是否中招,一切从第三方网站或者下载工具下载的 Xcode 都要删除,包括通过用官方地址通过迅雷来下载的,立即使用直接从官方 App Store 下载的最新版 Xcode 也是必须要动作。iOS 开发者图拉鼎在微博上还称,有条件的公司应该在今天开始专门设置一台有专人管理的 Build Server,所有发布至 App Store 的 App 只能从该台电脑 Build 并发布,以防止未来此类事件的再现。 至于用户,目前能做的除了祈祷自己不要泄露敏感信息之外,第一时间做的肯定还是修改各种在 iOS 设备上使用过的密码,尤其是 iCloud 密码,并且开启两步验证,构筑密码之外的防火墙。 在命运的塑料大棚里,每棵被喷了过多农药的白菜心中,都曾经有一个成为无公害有机蔬菜的梦想。 #欢迎关注爱范儿认证微信公众号:AppSolution(微信号:appsolution),发现新酷精华应用。 |
|