首頁 » 科技 » 一個影響全國iPhone用戶的病毒是怎麼被發現的

一個影響全國iPhone用戶的病毒是怎麼被發現的

  這麼多聰明的開發者們中招的理由甚至簡單地可笑,因為官方的Xcode編譯器下載太慢了。

  來源:界面 王付嬌

  一個Xcode漏洞攪翻了iOS開發者們的周末。

  9月17日早上9點左右,iOS工程師唐巧像往常一樣到公司上班。他打開了自己組建的iOS技術群,想看看有沒有什麼新動態,無意間看到群里有人說,“自己家的App中了木馬”,另一家已上市互聯網公司則說剛剛收到國家互聯網應急中心發來的郵件。

  郵件大意是,開發人員如果使用非蘋果官方渠道下載的Xcode,可能會導致惡意程序植入。

一個影響全國iPhone用戶的病毒是怎麼被發現的

  簡單來說,Xcode是iOS系統下程序員最常用的開發工具,由蘋果官方提供給開發者。但有些程序員選擇非官方下載途徑的原因簡單地令人不敢相信——蘋果電腦上用於更新應用的官方商店下載太慢了,所以就乾脆轉投百度網盤或者迅雷

  唐巧馬上意識到事情可能有點嚴重。9點45分,他發了一條微博公布了群里關於Xcode漏洞的討論結果,並附上了軟件是否包含Xcode惡意代碼的檢驗方式。後來,這一舉動帶來的影響遠遠超出了他的預料。

一個影響全國iPhone用戶的病毒是怎麼被發現的

  唐巧是猿題庫iOS開發工程師,之前在網易開發過有道雲筆記,有定期寫博客的習慣,是《iOS開發進階》作者。唐巧喜歡分享,邀請了國內喜歡分享的iOS開發者加到一個名為“真·iOS開發”群裡面一起交流。

  經過三年的積累和維護,這個群囊括了全國最頂尖的iOS開發者,大約60餘人,分別來自百度、騰訊新浪搜狐、網易等公司。群內經常討論關於iOS各方面的問題,這裡可以算是Xcode漏洞發現的來源地。

  在隨後的兩天內,這條微博波及800多個App,影響數千萬用戶的互聯網安全大事件,讓無數程序員在剛剛過去的這個周末加班熬夜打補丁。其中涉及的知名應用包括微信、滴滴出行、高德地圖、同花順等。

  由於唐巧在iOS圈內的影響力,他的微博迅速被阿里移動安全資深工程師蒸米(化名)關注,蒸米告訴界面新聞記者,“在看到這條消息后的第一反應是:這個黑客有想法啊,這種投毒方式也能想得出來。”並希望能第一時間拿到病毒樣本進行分析,“因為這一定是一個很嚴重的事件。”

  有個形象的比喻是,“炒菜的鍋都不幹凈,還能指望端上桌的菜沒有問題嗎?”

  蒸米馬上着手開始研究。9月17日下午1點53分,蒸米馬上從烏雲網作者群群主手裡拿到了病毒樣本,並開始進行初步分析,在和同事迅迪討論后,他們決定給這個樣本起名為“XcodeGhost”,並於當天下午5點43分寫成了業界第一篇分析報告《XCode編譯器里有鬼——XCodeGhost樣本分析》發表在了烏雲網上。這個如鬼魅一般的Xcode後台漏洞縈繞在眾多App上。

  烏雲網是位於廠商和安全研究者之間的漏洞報告平台。經過烏雲的曝光,這件原本只在互聯網安全圈子裡的事件發酵開來,後有媒體開始介入報道,甚至有部分用戶開始產生恐慌情緒。

  蒸米回憶說,“當時僅僅是針對病毒樣本進行分析,並不知道有那麼多的App被XcodeGhost感染了。”

  9月18日,美國硅谷的palo alto networks安全公司也分析完了XcodeGhost樣本,並發表了Novel Malware XcodeGhost Modifies Xcode,Infects Apple iOS Apps and Hits App Store分析報告,並在報告中提到網易雲音樂等多家App被感染。

  蘋果官方已經向波及的開發商通知這是非常嚴重的病毒感染事件,並在第一時間下架所有受感染的應用。9月19日上午,蘋果要求開發者用官方Xcode重新編譯確保去除掉病毒后才允許重新上架。

  在開發者們忙着遞交App修補版本時,蘋果也改掉了往日慢悠悠的性子,加快了審核速度。目前網易雲音樂、滴滴出行、微信等App都發布了漏洞修補版本。經過周末的加班之後,周一又有更多的應用發布了更新版本。

  在所有人忙得焦頭爛額的時候,病毒的始作俑者卻還沒有被找到。

  9月19日凌晨4點,一個名為“XcodeGhost-Auther”的新註冊微博號自稱為病毒的作者,併發文澄清,“所謂的XcodeGhost只是苦逼iOS開發者的一次意外發現”,“出於私心,我在代碼中加入了廣告功能”。

  這種“公關文”的說法遭到了唐巧的質疑。先不說此文的公關風格老練,“從服務器域名、到木馬代碼、再到個人身份的隱藏,再到這個木馬所體現的強大能力,都不像是實驗,更像是一次有目的黑客行為。”

  烏雲作者群里的@onevcat算了一筆賬:

  “微信用戶總數5億日活70%。每天每人就算5個POST請求,每個請求300Byte,日流入流量就接近500G,以及17.5億次請求。據說服務器在亞馬遜,那麼資費算一下每個月應該是存儲$450,請求$260K。這還只是單單一個微信,再算上網易雲音樂等等,每月四五十萬刀僅僅是苦逼iOS開發者的個人實驗?”

  在公開的文章中,XcodeGhost作者稱,“XcodeGhost能做的事情不多,基本上只限於獲得基本的App信息:應用名、應用版本號、系統版本號、語言、國家名、開發者符號、App安裝時間、設別名稱和設備類型。”

  據唐巧介紹,該木馬能下髮指令的類型基本就是彈對話框,或打開一個網址或下載一個App,並且已經在Github上公開了源碼。媒體過度渲染的“個人信息被竊取”、“密碼曝光”等都沒有證實。用戶能做的除了更改蘋果賬號密碼、等待受感染應用升級外,也不必過度恐慌。

  “我覺得任何一個黑客,他的目標都不是破壞,而是利益。並且這種利益應該是相對安全的。”唐巧認為,投放彈窗廣告通常是比較安全的回報方式。

  換句話說,黑客不會進行無利益的攻擊行為。即使用戶去點那個引導對話框、去下App,個人信息也不太容易被竊取。蘋果有一個叫做“沙盒”的安全機制,能限制授予App的代碼訪問權限,保證App store的個人賬戶安全。

  這次事件的影響最大的一點是,它動搖了人們對於蘋果安全的信心。過去幾年也沒有發生過嚴重的iOS病毒事件,這次XcodeGhost作者從編譯器下手,把蘋果可能存在的安全問題暴露在公眾視野中。

  蒸米認為,“XcodeGhost也給國內的移動App開發者拉響了警報,網絡安全從來不能依靠單點,需要全鏈路加固,有縱深防禦,才是萬全之策。”

  這種在編譯器上裝病毒的手法並不稀奇,它的學名叫做“源碼病毒”,病毒代碼附着在編譯器中。在Win32時代已經出現過,例如感染delphi編譯器的SysConst.dcu;早在1984年,Ken Thompson就曾在圖靈獎演講中提到過,如何在UNIX gcc編譯器中動手腳的惡作劇。如今,當年的惡作劇已經變成了現實。

一個影響全國iPhone用戶的病毒是怎麼被發現的

看看這個吧

霍金想要探測比鄰星,有可能成功嗎?

>>全台最快速,高清1080p ...

蘋果購地以時光女神命名 疑有關電動汽車項目

>>今晚的好伴侶,高清1080 ...