XcodeGhost風波
XcodeGhost風波,為中國大陸地區App Store中的部分iOS應用程式被稱為「XCodeGhost」的第三方惡意代碼注入,而產生了一系列的問題,包括可能的私隱泄漏、廣告點擊。
因為屬於開發者端的程式污染,所以即便是未越獄的iOS用戶從蘋果官方App Store下載應用也可能存在風險。
事件發展
XcodeGhost植入
Xcode為蘋果公司所發行、供程式設計師開發OS X、iOS、watchOS與tvOS應用程式的整合開發環境(IDE),在Mac App Store中免費提供。由於網絡審查導致中國大陸用戶訪問Mac App Store有連接困難,部分開發者出於方便選擇了國內第三方渠道下載(如百度網盤、迅雷離線等)或者從社交平台尋找獲得開發程式,由此帶來了安全隱患。
而這部分Xcode的框架庫中被加入了被稱為「XcodeGhost」的框架庫,導致其編譯出來的App都帶有後門代碼,會在最終客戶端執行時將私隱資訊提交給第三方。[1]
爆發
根據已經披露的文件,騰訊安全應急響應中心在跟蹤某app的bug時發現異常流量,解析後上報了中國國家互聯網應急中心(CNCERT)[1],後者隨即在2015年9月14日發佈了預警訊息[2]。之後也有其他國家的資訊保安組織跟進調查。
在2015年9月17日左右,新浪微博用戶「@唐巧_boy」發佈微博聲稱Xcode有可能被第三方代碼注入,而在社交平台上引起軒然大波。烏雲網後續發佈相關的知識庫文章[3]。
當事人陳述
2015年9月19日凌晨4時許,新浪微博上出現一名「XcodeGhost-Author」的新用戶發佈一條微博訊息,聲稱XcodeGhost只是一個實驗性質專案;隨後GitHub上的同名計畫頁面也刊載同樣的聲明[4]。
應急處理
蘋果方面雖然事前缺乏對程式的安全稽核,但是事件發生後火速對感染惡意代碼的app進行了下架[5]。
部分中國大陸地區開發商的App因此受到影響,因此對其受污染的App使用正規渠道下載的Xcode進行編譯後重新上線。
受感染應用
受到影響的app程式眾多,據稱受感染的app多達76個[6],而記載着app名單的截圖應該來自「360安全播報平台」,其將在2015年9月19日更新的訊息中將受XcodeGhost感染的app數量上調為344款[7];而截至2015年9月20日下午的通報,受感染app數量為1078款[7]。
知名度較高的部分app如:微信、網易雲音樂、滴滴打車、高德地圖、12306、同花順、中信銀行動卡空間、簡書等。涉及包括即時通訊軟件、地圖應用甚至金融服務產品。
蘋果公司對此事進行了公開聲明[8],並對於部分感染app進行了下架處理[5];從2015年9月20日開始,部分下架程式重新編譯後上架,但各廠商對此態度不同,微信的版本更新中並未說明原因,而網易雲音樂則註明為「修復XcodeGhost問題」[9]。
影響
- 事件相關
- 中國官方媒體的中央電視台報道了該事件[10],且在節目中援引專家說法,對所謂作者的無害聲明進行質疑。
- 安全網站如烏雲、騰訊安全中心,自媒體月光博客等也在該事件中作為資訊發佈平台提供支援。
- 雖然蘋果公司發佈了聲明並對感染應用做了下架處理[8],然而風險仍然存在,即如果用戶下載了受感染應用而沒有更新,惡意代碼仍然有被執行風險。蘋果對此也並沒有對所有用戶發佈推播性質的通告。
- 騰訊科技在2015年9月21日發表了署名「梁辰」的相關評論文章[11],箭頭直指蘋果的安全防禦機制,解釋相關黑色產業鏈的存在;然而最後段落中,對於開發者不恰當使用第三方渠道下載XCode工具,該文批評指「每次下Xcode花個幾十分鐘非常正常,這才造成大家都用迅雷和百度網盤這種非官方渠道」。此外,文中錯誤指稱肯·湯普遜言及『編譯Unix代碼的C編輯器里留有「後門」』,事實為Ken在其論文《Reflections on Trusting Trust》中闡述的若不校驗基於信任的信任,那麼編譯器出現問題時則會影響全域安全性[12],與本次事件有相似度。
- 安全問題外延
原因
- 因為蘋果公司的App Store等服務在中國大陸有訪問緩慢的問題。部分開發者選擇了從非正規的第三方渠道下載套件,這為惡意軟件開發者散佈惡意代碼提供可乘之機,通過在大陸地區各大蘋果開發社交網站散佈自己帶有後門框架的Xcode來誘使開發人員使用,從而埋下隱患。[11]
參見
- iOS應用程式稽核
- Xcode(蘋果開發套件)
- 防火長城(中國大陸訪問境外網站受限的阻擋)
- 殭屍網絡
- 2014年8月名人相片泄露事件(曾經發生的iCloud泄露事件)
參考資料
- ^ 1.0 1.1 Gmxp. 你以为这就是全部了?我们来告诉你完整的XCodeGhost事件. 騰訊安全應急響應中心. 2015-09-19 [2018-08-06]. (原始內容存檔於2018-08-06) (中文(簡體)).
- ^ 关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报. 國家互聯網應急中心. 2015-09-14 [2018-07-06]. (原始內容存檔於2018-08-06) (中文(簡體)).
- ^ XCode编译器里有鬼 – XCodeGhost样本分析. 烏雲. 2015-09-17 [2015-09-20]. (原始內容存檔於2015-09-20) (中文(簡體)).
- ^ XcodeGhost (頁面存檔備份,存於互聯網檔案館) GitHub上的XcodeGhost專案
- ^ 5.0 5.1 蘋果App Store火線下架遭感染的軟件 (頁面存檔備份,存於互聯網檔案館) — cnbeta
- ^ 蘋果App被置病毒全部名單 不是只有20多個而是76個 (頁面存檔備份,存於互聯網檔案館) — techweb
- ^ 7.0 7.1 已知有後門的iOS App (頁面存檔備份,存於互聯網檔案館) — 360安全播報平台
- ^ 8.0 8.1 Apple. 有关 XcodeGhost 的问题和解答. 蘋果公司官方網站. [2015-09-27]. (原始內容存檔於2015-09-27) (中文(中國大陸)及英語).
- ^ 網易. 网易云音乐. iTunes. 2015-09-26 [2015-09-26]. (原始內容存檔於2015-09-26) (中文(中國大陸)).
- ^ 蘋果手機多款應用程式現「後門」 (頁面存檔備份,存於互聯網檔案館) — cntv
- ^ 11.0 11.1 《蘋果遭遇信任危機:蘋果APP也會被黑》 (頁面存檔備份,存於互聯網檔案館) - 騰訊科技
- ^ Thompson, Ken. Reflections on Trusting Trust. Communications of the ACM. August 1984, 27 (8): 761–763 [2015-10-05]. doi:10.1145/358198.358210. (原始內容存檔於2012-05-25).
- ^ 不止Xcode,网曝游戏开发工具Unity4.X被植入恶意代码 - XcodeGhost,Xcode,病毒 - IT之家. [2015-09-24]. (原始內容存檔於2022-04-26).
- ^ Unity和cocos 2d-x回应XcodeGhost污染_国内动态 - 07073产业频道. [2015-09-24]. (原始內容存檔於2020-05-15).
- ^ 你以為伺服器關了這事就結束了? - XcodeGhost截胡攻擊和伺服器端的復現,以及UnityGhost預警 (頁面存檔備份,存於互聯網檔案館) - 烏雲
- ^ XcodeGhost. [2015-09-20]. (原始內容存檔於2022-05-16).
- ^ 雪碧; 明明知道. 迷雾重重:XcodeGhost究竟是恶意病毒还是“无害的实验”?. Freebuf. 2015-09-19 [2020-07-05]. (原始內容存檔於2018-01-21).
- ^ 黃彥棻. XcodeGhost風暴事件大剖析. 電週文化事業. 2015-10-13 [2017-12-13]. (原始內容存檔於2021-05-14).
外部連結
- GitHub上的XcodeGhost頁面
- Greatfire組織:中國流行的iOS應用遭到前所未有的惡意軟件感染(簡體中文)
- 關於使用非蘋果官方XCODE存在植入惡意代碼情況的預警通報 (頁面存檔備份,存於互聯網檔案館) 國家互聯網應急中心 2015-09-14
- 你以為這就是全部了?我們來告訴你完整的XCodeGhost事件 (頁面存檔備份,存於互聯網檔案館) — 騰訊安全應急響應中心
- Xcode非官方版本惡意代碼污染事件(XcodeGhost)的分析與綜述 (頁面存檔備份,存於互聯網檔案館),安天實驗室(簡體中文)
- 《針對此次XcodeGhost攻擊行為的分析》 (頁面存檔備份,存於互聯網檔案館)
- Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store (頁面存檔備份,存於互聯網檔案館) 安全公司 Paloalto networks 的分析報告(英文)
- Solidot:報道稱XcodeGhost開發者已被控制 (頁面存檔備份,存於互聯網檔案館)(簡體中文)