Xcode 是苹果公司提供的集成开发环境,iPhone 上很多 App 都是用 Xcode 编写出来的。然而9月17日晚,“猿题库”App 的 iOS 开发工程师@唐巧_boy 发布一条微博称,有些(在中国)通过非苹果公司官方渠道下载的 Xcode 开发出来的 App,被注入了其他代码(木马病毒),会自动向某网站上传数据。此言一出立即引起轩然大波,不少用户量庞大的苹果手机 App 相继被发现感染病毒。
由于中国政府在其互联网边界设置审查系统“防火长城”(Great Firewall,GFW),在屏蔽 Facebook、Twitter、YouTube 等当局认为是“敏感”网站的同时,也使得其他国外网站对中国用户的数据传输速度变得极为缓慢。又因为 Xcode 软件比较大,从苹果官网下载耗时太长,很多中国开发者便选择从百度云、迅雷等国内软件平台下载非官方版本,从而为可能感染木马病毒留下隐患。
很多开发者由于使用了写有第三方病毒代码的 Xcode 软件,开发出的应用产品也被“遗传”成为病毒携带者。据360网路攻防实验室测试发现,受到此木马病毒影响的 App 有:
- 微信 6.2.5
- 12306移动端(中国铁路客服中心) 2.12
- 滴滴出行 4.0.0.6
- 滴滴打车 3.9.7
- 高德地图 7.3.8
- 中国联通网上营业厅 3.2
- 中信银行动卡空间 3.3.12
- 简书 2.9.1
- 豌豆荚的开眼 1.8.0
- 穷游 6.4.1
- 网易云音乐 2.8.3
- 网易公开课 4.2.8
- 下厨房 4.3.2
- 51卡保险箱 5.0.1
- 愤怒的小鸟2 2.1.1
等数十种 iOS 应用。
网易云音乐18日下午发表官方声明承认受到感染,但表示病毒只会上传一些 iPhone 端应用“产品自身的部分基本信息(安装时间、应用 id、应用名称、系统版本、语言、国家)”,“无法调取和泄漏用户的个人信息”。 然而也有网路开发工程师称,这种攻击方法理论上可以植入任何恶意代码;而如果服务器上线或域名重定向,也可能继续接受隐私信息。
据多名代码专家追踪发现,病毒代码会将获取的信息传送到一个网址为 http://init.icloud-analysis.com 的假冒苹果官网,目前该网站的服务器已经关闭。多家产品官方声明及有分析称,在 Xcode 中注入的代码并没有什么恶意;然而“Clover·四叶新媒体”联合创始人 Saic 检测发现,这个木马程序向服务器发出用户数据后,会返回模拟弹窗提示“支付失败”,并将用户引导到其他付款地址或某个软件的企业安装包。
有网友将病毒制造嫌疑人锁定为百度贴吧中的“coderfun”用户,其注册信息为“男”,出生于“北京东城区”,他曾于3月12日在百度贴吧分享了一个 Xcode 6.2版本的网盘地址。然而目前尚无权威消息证实病毒出自该用户之手。
在消息混乱、网民恐慌之时,多家网路技术平台纷纷发文,指导开发者和用户如何辨识和避免被病毒侵害。
乌云知识库文章指,对于新下载安装或正在使用的 Xcode,可以通过查看软件的哈希值(HASH)是否与官方相符,来验证有没有感染病毒,例如,有问题的 Xcode6.4.dmg 的哈希值是:a836d8fa0fce198e061b7b38b826178b44c053a8,而官方正确的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0。
此外,开发者为了防止 App 被插入恶意库文件,除了要检测/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs” 目录下是否有可疑的 framework 文件之外,还应该检测一下 Target > Build Setting > Search Paths > Framework Search Paths 中的设置,查看是否有可疑的 frameworks 混杂其中 。
对于苹果手机用户来说,需要格外注意的是开启 iCloud 两步验证功能,可有效防止隐私信息泄漏。Saic 也提醒用户,“如果之前有遇到任何程序弹出非系统需要输入 Apple ID 或密码的网站,并输入过密码的,还请尽早修改(密码)”。
声音
虽然官方都说泄漏的非敏感信息,苹果的 App 也都严格隔离,但理论上这种攻击方法可以植入任何恶意代码。所以大家还是慎用国产软件吧。
目前已知漏洞会收集用户信息,以及模仿 iCloud 登陆界面,要求用户输入帐号密码。
看到大家清一色在骂,我来解释一下吧,使用非官方 Xcode 的原因大多是:阅兵期间前后国外线路十分不稳定,高达 5G 大小的 Xcode 无法顺利下载。你们该骂谁心里清楚,别一遇到问题就把屎盆扣给一线开发者。