Xcode 是蘋果公司提供的集成開發環境,iPhone 上很多 App 都是用 Xcode 編寫出來的。然而9月17日晚,「猿題庫」App 的 iOS 開發工程師@唐巧_boy 發布一條微博稱,有些(在中國)通過非蘋果公司官方渠道下載的 Xcode 開發出來的 App,被注入了其他代碼(木馬病毒),會自動向某網站上傳數據。此言一出立即引起軒然大波,不少用戶量龐大的蘋果手機 App 相繼被發現感染病毒。
由於中國政府在其互聯網邊界設置審查系統「防火長城」(Great Firewall,GFW),在屏蔽 Facebook、Twitter、YouTube 等當局認為是「敏感」網站的同時,也使得其他國外網站對中國用戶的數據傳輸速度變得極為緩慢。又因為 Xcode 軟件比較大,從蘋果官網下載耗時太長,很多中國開發者便選擇從百度雲、迅雷等國內軟件平台下載非官方版本,從而為可能感染木馬病毒留下隱患。
很多開發者由於使用了寫有第三方病毒代碼的 Xcode 軟件,開發出的應用產品也被「遺傳」成為病毒攜帶者。據360網路攻防實驗室測試發現,受到此木馬病毒影響的 App 有:
- 微信 6.2.5
- 12306移動端(中國鐵路客服中心) 2.12
- 滴滴出行 4.0.0.6
- 滴滴打車 3.9.7
- 高德地圖 7.3.8
- 中國聯通網上營業廳 3.2
- 中信銀行動卡空間 3.3.12
- 簡書 2.9.1
- 豌豆莢的開眼 1.8.0
- 窮游 6.4.1
- 網易雲音樂 2.8.3
- 網易公開課 4.2.8
- 下廚房 4.3.2
- 51卡保險箱 5.0.1
- 憤怒的小鳥2 2.1.1
等數十種 iOS 應用。
網易雲音樂18日下午發表官方聲明承認受到感染,但表示病毒只會上傳一些 iPhone 端應用「產品自身的部分基本信息(安裝時間、應用 id、應用名稱、系統版本、語言、國家)」,「無法調取和泄漏用戶的個人信息」。 然而也有網路開發工程師稱,這種攻擊方法理論上可以植入任何惡意代碼;而如果服務器上線或域名重定向,也可能繼續接受隱私信息。
據多名代碼專家追蹤發現,病毒代碼會將獲取的信息傳送到一個網址為 http://init.icloud-analysis.com 的假冒蘋果官網,目前該網站的服務器已經關閉。多家產品官方聲明及有分析稱,在 Xcode 中注入的代碼並沒有什麼惡意;然而「Clover·四葉新媒體」聯合創始人 Saic 檢測發現,這個木馬程序向服務器發出用戶數據後,會返回模擬彈窗提示「支付失敗」,並將用戶引導到其他付款地址或某個軟件的企業安裝包。
有網友將病毒製造嫌疑人鎖定為百度貼吧中的“coderfun”用戶,其註冊信息為「男」,出生於「北京東城區」,他曾於3月12日在百度貼吧分享了一個 Xcode 6.2版本的網盤地址。然而目前尚無權威消息證實病毒出自該用戶之手。
在消息混亂、網民恐慌之時,多家網路技術平台紛紛發文,指導開發者和用戶如何辨識和避免被病毒侵害。
烏雲知識庫文章指,對於新下載安裝或正在使用的 Xcode,可以通過查看軟件的哈希值(HASH)是否與官方相符,來驗證有沒有感染病毒,例如,有問題的 Xcode6.4.dmg 的哈希值是:a836d8fa0fce198e061b7b38b826178b44c053a8,而官方正確的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0。
此外,開發者為了防止 App 被插入惡意庫文件,除了要檢測/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs」 目錄下是否有可疑的 framework 文件之外,還應該檢測一下 Target > Build Setting > Search Paths > Framework Search Paths 中的設置,查看是否有可疑的 frameworks 混雜其中 。
對於蘋果手機用戶來說,需要格外注意的是開啟 iCloud 兩步驗證功能,可有效防止隱私信息泄漏。Saic 也提醒用戶,「如果之前有遇到任何程序彈出非系統需要輸入 Apple ID 或密碼的網站,並輸入過密碼的,還請盡早修改(密碼)」。
聲音
雖然官方都說泄漏的非敏感信息,蘋果的 App 也都嚴格隔離,但理論上這種攻擊方法可以植入任何惡意代碼。所以大家還是慎用國產軟件吧。
目前已知漏洞會收集用戶信息,以及模仿 iCloud 登陸界面,要求用戶輸入帳號密碼。
看到大家清一色在罵,我來解釋一下吧,使用非官方 Xcode 的原因大多是:閱兵期間前後國外線路十分不穩定,高達 5G 大小的 Xcode 無法順利下載。你們該罵誰心裡清楚,別一遇到問題就把屎盆扣給一線開發者。