XcodeGhost風波

由于Xcode Ghost感染而导致的一系列事件

XcodeGhost風波,為中國大陸地區App Store中的部分iOS應用程式被稱為「XCodeGhost」的第三方惡意代碼注入,而產生了一系列的問題,包括可能的私隱泄漏、廣告點擊。

因為屬於開發者端的程式污染,所以即便是未越獄的iOS用戶從蘋果官方App Store下載應用也可能存在風險。

事件發展

XcodeGhost植入

Xcode為蘋果公司所發行、供程式設計師開發OS XiOSwatchOStvOS應用程式的整合開發環境(IDE),在Mac App Store中免費提供。由於網絡審查導致中國大陸用戶訪問Mac App Store有連接困難,部分開發者出於方便選擇了國內第三方渠道下載(如百度網盤迅雷離線等)或者從社交平台尋找獲得開發程式,由此帶來了安全隱患。

而這部分Xcode的框架庫中被加入了被稱為「XcodeGhost」的框架庫,導致其編譯出來的App都帶有後門代碼,會在最終客戶端執行時將私隱資訊提交給第三方。[1]

爆發

根據已經披露的文件,騰訊安全應急響應中心在跟蹤某app的bug時發現異常流量,解析後上報了中國國家互聯網應急中心(CNCERT)[1],後者隨即在2015年9月14日發佈了預警訊息[2]。之後也有其他國家的資訊保安組織跟進調查。

在2015年9月17日左右,新浪微博用戶「@唐巧_boy」發佈微博聲稱Xcode有可能被第三方代碼注入,而在社交平台上引起軒然大波。烏雲網後續發佈相關的知識庫文章[3]

當事人陳述

2015年9月19日凌晨4時許,新浪微博上出現一名「XcodeGhost-Author」的新用戶發佈一條微博訊息,聲稱XcodeGhost只是一個實驗性質專案;隨後GitHub上的同名計畫頁面也刊載同樣的聲明[4]

應急處理

蘋果方面雖然事前缺乏對程式的安全稽核,但是事件發生後火速對感染惡意代碼的app進行了下架[5]

部分中國大陸地區開發商的App因此受到影響,因此對其受污染的App使用正規渠道下載的Xcode進行編譯後重新上線。

受感染應用

受到影響的app程式眾多,據稱受感染的app多達76個[6],而記載着app名單的截圖應該來自「360安全播報平台」,其將在2015年9月19日更新的訊息中將受XcodeGhost感染的app數量上調為344款[7];而截至2015年9月20日下午的通報,受感染app數量為1078款[7]

知名度較高的部分app如:微信網易雲音樂滴滴打車高德地圖12306同花順中信銀行動卡空間、簡書等。涉及包括即時通訊軟件、地圖應用甚至金融服務產品。

蘋果公司對此事進行了公開聲明[8],並對於部分感染app進行了下架處理[5];從2015年9月20日開始,部分下架程式重新編譯後上架,但各廠商對此態度不同,微信的版本更新中並未說明原因,而網易雲音樂則註明為「修復XcodeGhost問題」[9]

影響

事件相關
  • 中國官方媒體的中央電視台報道了該事件[10],且在節目中援引專家說法,對所謂作者的無害聲明進行質疑。
  • 安全網站如烏雲、騰訊安全中心,自媒體月光博客等也在該事件中作為資訊發佈平台提供支援。
  • 雖然蘋果公司發佈了聲明並對感染應用做了下架處理[8],然而風險仍然存在,即如果用戶下載了受感染應用而沒有更新,惡意代碼仍然有被執行風險。蘋果對此也並沒有對所有用戶發佈推播性質的通告。
  • 騰訊科技在2015年9月21日發表了署名「梁辰」的相關評論文章[11],箭頭直指蘋果的安全防禦機制,解釋相關黑色產業鏈的存在;然而最後段落中,對於開發者不恰當使用第三方渠道下載XCode工具,該文批評指「每次下Xcode花個幾十分鐘非常正常,這才造成大家都用迅雷和百度網盤這種非官方渠道」。此外,文中錯誤指稱肯·湯普遜言及『編譯Unix代碼的C編輯器里留有「後門」』,事實為Ken在其論文《Reflections on Trusting Trust》中闡述的若不校驗基於信任的信任,那麼編譯器出現問題時則會影響全域安全性[12],與本次事件有相似度。
安全問題外延
  • 有人在尋找相應的發佈源時發現其也有發佈帶有後門框架的知名遊戲開發框架Unity第三方發佈源,懷疑Unity也有類似的影響。[13]而Unity的開發商則發佈聲明自查官方版本沒問題並要求開發者從官方途徑下載開發程式。[14]
  • 在2015年9月22日,雖然XcodeGhost作者聲明已關閉伺服器,然而有安全從業人員表示仍然有安全隱患,潛在攻擊者可以通過域名解析污染等手段偽裝獲得敏感數據,這類手法被命名為截胡攻擊(「截胡」為麻將術語)[15]

原因

  • 因為蘋果公司的App Store等服務在中國大陸有訪問緩慢的問題。部分開發者選擇了從非正規的第三方渠道下載套件,這為惡意軟件開發者散佈惡意代碼提供可乘之機,通過在大陸地區各大蘋果開發社交網站散佈自己帶有後門框架的Xcode來誘使開發人員使用,從而埋下隱患。[11]
  • XcodeGhost作者聲稱這是一個實驗性專案[16],然而騰訊安全團隊、RAyH4c等均對此說法表示質疑,指其在事前的針對性SEO及該惡意軟件感染的規模等方面,均遠超出其所聲稱的個人能力[17]
  • 根據斯諾登(Edward Snowden)揭露檔案,美國中情局(CIA)在2012年已有相關能力,即透過偽冒Xcode,用來監控所有使用該偽冒開發工具所開發的App及後續的修改版本,而這套偽冒開發工具所開發的App,可以在蘋果公司的官方App Store上架並販售,且不會被任何人員發覺有異常之處。[18]

參見

參考資料

  1. ^ 1.0 1.1 Gmxp. 你以为这就是全部了?我们来告诉你完整的XCodeGhost事件. 騰訊安全應急響應中心. 2015-09-19 [2018-08-06]. (原始內容存檔於2018-08-06) (中文(簡體)). 
  2. ^ 关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报. 國家互聯網應急中心. 2015-09-14 [2018-07-06]. (原始內容存檔於2018-08-06) (中文(簡體)). 
  3. ^ XCode编译器里有鬼 – XCodeGhost样本分析. 烏雲. 2015-09-17 [2015-09-20]. (原始內容存檔於2015-09-20) (中文(簡體)). 
  4. ^ XcodeGhost頁面存檔備份,存於互聯網檔案館) GitHub上的XcodeGhost專案
  5. ^ 5.0 5.1 蘋果App Store火線下架遭感染的軟件頁面存檔備份,存於互聯網檔案館) — cnbeta
  6. ^ 蘋果App被置病毒全部名單 不是只有20多個而是76個頁面存檔備份,存於互聯網檔案館) — techweb
  7. ^ 7.0 7.1 已知有後門的iOS App頁面存檔備份,存於互聯網檔案館) — 360安全播報平台
  8. ^ 8.0 8.1 Apple. 有关 XcodeGhost 的问题和解答. 蘋果公司官方網站. [2015-09-27]. (原始內容存檔於2015-09-27) (中文(中國大陸)及英語). 
  9. ^ 網易. 网易云音乐. iTunes. 2015-09-26 [2015-09-26]. (原始內容存檔於2015-09-26) (中文(中國大陸)). 
  10. ^ 蘋果手機多款應用程式現「後門」頁面存檔備份,存於互聯網檔案館) — cntv
  11. ^ 11.0 11.1 《蘋果遭遇信任危機:蘋果APP也會被黑》頁面存檔備份,存於互聯網檔案館) - 騰訊科技
  12. ^ Thompson, Ken. Reflections on Trusting Trust. Communications of the ACM. August 1984, 27 (8): 761–763 [2015-10-05]. doi:10.1145/358198.358210. (原始內容存檔於2012-05-25). 
  13. ^ 不止Xcode,网曝游戏开发工具Unity4.X被植入恶意代码 - XcodeGhost,Xcode,病毒 - IT之家. [2015-09-24]. (原始內容存檔於2022-04-26). 
  14. ^ Unity和cocos 2d-x回应XcodeGhost污染_国内动态 - 07073产业频道. [2015-09-24]. (原始內容存檔於2020-05-15). 
  15. ^ 你以為伺服器關了這事就結束了? - XcodeGhost截胡攻擊和伺服器端的復現,以及UnityGhost預警頁面存檔備份,存於互聯網檔案館) - 烏雲
  16. ^ XcodeGhost. [2015-09-20]. (原始內容存檔於2022-05-16). 
  17. ^ 雪碧; 明明知道. 迷雾重重:XcodeGhost究竟是恶意病毒还是“无害的实验”?. Freebuf. 2015-09-19 [2020-07-05]. (原始內容存檔於2018-01-21). 
  18. ^ 黃彥棻. XcodeGhost風暴事件大剖析. 電週文化事業. 2015-10-13 [2017-12-13]. (原始內容存檔於2021-05-14). 

外部連結