本页使用了标题或全文手工转换

XcodeGhost风波

维基百科,自由的百科全书
(重定向自XcodeGhost
跳转至: 导航搜索

XcodeGhost风波,为中国大陆地区App Store中的部分iOS應用程式被称为「XCodeGhost」的第三方惡意代码注入,而产生了一系列的问题,包括可能的隐私泄漏、广告点击。

因为属于开发者端的程序污染,所以即便是未越狱的iOS用户从苹果官方App Store下载应用也可能存在风险。

事件发展[编辑]

XcodeGhost植入[编辑]

Xcode为苹果公司所發行、供程式設計師開發OS XiOSwatchOStvOS應用程式的整合開發環境(IDE),在Mac App Store中免费提供。由于网络审查导致中国大陆用户访问Mac App Store有连接困难,部分开发者出于方便选择了国内第三方渠道下载(如百度云盘迅雷离线等)或者从社交平台查找获得开发程序,由此带来了安全隐患。

而这部分Xcode的框架库中被加入了被称为“XcodeGhost”的框架库,导致其编译出来的App都带有后门代码,会在最终客户端运行时将隐私信息提交给第三方。[1]

爆发[编辑]

根据已经披露的文档,腾讯安全应急响应中心在跟踪某app的bug时发现异常流量,解析后上报了国家互联网应急中心(CNCERT)[1],后者随即在2015年9月14日发布了预警訊息[2]。之后也有国外信息安全组织跟进调查。

在2015年9月17日左右,新浪微博用户 @唐巧_boy 发布微博声称Xcode有可能被第三方代码注入,而在社交平台上引起轩然大波。乌云网后续发布相关的知识库文章[3]

当事人陈述[编辑]

2015年9月19日凌晨4时许,新浪微博上出现一名“XcodeGhost-Author”的新用户发布一条微博訊息,声称XcodeGhost只是一个实验性质项目;随后该项目的GitHub页面也刊载了一致的声明[4]

应急处理[编辑]

苹果方面虽然事前缺乏对程序的安全审核,但是事件发生后火速对感染恶意代码的app进行了下架[5]

部分大陆地区开发商的App因此受到影响,因此对其受污染的App使用正规渠道下载的Xcode进行编译后重新上线。

受感染应用[编辑]

受到影响的app程序众多,据称受感染的app多达76个[6],而记载着app名单的截图应该来自“360安全播报平台”,其将在2015年9月19日更新的消息中将受XcodeGhost感染的app数量上调为344款[7];而截至2015年9月20日下午的通报,受感染app数量为1078款[7]

知名度较高的部分app如:微信网易云音乐滴滴打车高德地图12306同花顺、中信银行动卡空间、简书等。涉及包括即时通讯软件、地图应用甚至金融服务产品。

苹果公司對此事进行了公开声明[8],並对于部分感染app进行了下架处理[5];从2015年9月20日开始,部分下架程序重新编译后上架,但各厂商对此态度不同,微信的版本更新中并未说明原因,而网易云音乐则注明为“修复XcodeGhost问题”[9]

影响[编辑]

事件相关
  • 中国官方媒体的中央电视台报道了该事件[10],且在节目中援引专家说法,对所谓作者的无害声明进行质疑。
  • 安全网站如乌云、腾讯安全中心,自媒体月光博客等也在该事件中作为信息发布平台提供支持。
  • 虽然苹果公司发布了声明并对感染应用做了下架处理[8],然而风险仍然存在,即如果用户下载了受感染应用而没有更新,恶意代码仍然有被运行风险。苹果对此也并没有对所有用户发布推送性质的通告。
  • 腾讯科技在2015年9月21日发表了署名“梁辰”的相关评论文章[11],箭头直指苹果的安全防御机制,解释相关黑色产业链的存在;然而最后段落中,对于开发者不恰当使用第三方渠道下载XCode工具采用了避重就轻的批评。结合本次受灾的微信(iOS,6.2.5版[12][8],不免令人对其立场产生怀疑。此外,文中错误指称 肯·汤普逊言及『编译Unix代码的C编辑器里留有“后门”』,事实为Ken在其论文《Reflections on Trusting Trust》中阐述的若不校验基于信任的信任,那么编译器出现问题时则会影响全局安全性[13],与本次事件有相似度。
安全问题外延
  • 有人在查找相应的发布源时发现其也有发布带有后门框架的知名游戏开发框架Unity第三方发布源,怀疑Unity也有类似的影响。[14]而Unity的开发商则发布声明自查官方版本没问题并要求开发者从官方途径下载开发程序。[15]
  • 在2015年9月22日,虽然XcodeGhost作者声明已关闭服务器,然而有安全从业人员表示仍然有安全隐患,潜在攻击者可以通过域名解析污染等手段伪装获得敏感数据,这类手法被命名为截胡攻击(“截胡”为麻将术语)[16]

原因[编辑]

  • 因为防火长城的存在,中国大陆访问一些境外网站存在限制,例如程序开发重要的GitHub一度在中国大陆遭到封禁,而苹果公司的App Store等服务在中国大陆也有访问缓慢的问题。部分开发者选择了从非正规的第三方渠道下载套件,这为恶意软件开发者散布恶意代码提供可乘之机,通过在大陆地区各大苹果开发社交网站散布自己带有后门框架的Xcode来诱使开发人员使用,从而埋下隐患。[來源請求]
  • XcodeGhost作者声称这是一个实验性项目[17],然而有专家[谁?]对此说法表示质疑,其在事前的针对性SEO,后门代码所能产生的更大的劫持能力,以及架设在亚马逊云上的流量费用远超出其所声称的个人能力。

参见[编辑]

参考资料[编辑]

外部链接[编辑]