首頁 » 科技 » 數億蘋果用戶中毒:一場本可以避免的悲劇

數億蘋果用戶中毒:一場本可以避免的悲劇

  大量開發者帶“毒”開發App,“媽媽”都生病了,“孩子”還能倖免嗎?

  ■IT時報記者 章蔚瑋

  最近,不少蘋果手機用戶都開始忙着刪除自己手機內的“中毒”應用,iOS系統變得不再安全的現實,引起了很多人的恐慌。而在整個事件中,iOS開發者從非蘋果官方渠道下載的xcode 開發器是導致大範圍App“中毒”的重要原因,真正需要恐慌的是,國內iOS開發者在安全操作規範上存在的“漏洞”。

  事件回放

  數億蘋果大面積中毒iOS首次遭遇安全危機

  9月17日,國外安全公司 Paloalto發布了第一版關於XcodeGhost的分析報告,隨後阿里移動安全在國內緊跟着發布了相關報告,由此引發一場國內安全圈的“大地震”。據不完全統計,中國區App Store 商店中有接近百款常用軟件,包括微信、滴滴打車、12306、網易雲音樂、高德地圖、中國聯通手機營業廳等覆蓋率極高的應用軟件被發現已注入這一惡意程序。至少對數億名 iOS 用戶的個人信息造成了威脅。

  整個事件的起因是,由惡意開發者製作的帶有“後門”的 Xcode(由蘋果發布的iOS 和OS X開發器),並將其上傳到網絡,iOS 開發者通過非蘋果官方渠道下載了這些變異的 Xcode,進行軟件開發,並上架到App Store。用戶將這些帶有惡意代碼的應用同時下載到自己手機中,最終導致了大範圍傳播。

  這種惡意軟件程序目前被定名為XcodeGhost,其可怕之處在於無論蘋果手機是否越獄,所有可運行iOS軟件的 iPhone、iPad 和 iPod touch 都可感染。根據騰訊安全應急中心的分析報告,受感染的App在啟動、後台、恢復、結束時,這一惡意程序都將上報信息至黑客控制的服務器,上報的信息包括:版本、名稱、本地語言、iOS版本、設備類型、國家碼等設備信息。不僅僅如此,在後台,黑客能夠通過上報的信息區分每一台iOS設備,使其變成“肉雞”(被黑客遠程控制的電腦、手機等),黑客可隨時隨地下發偽協議指令,不僅能在受感染的iPhone中完成打開網頁、發短信、打電話等常規手機行為,甚至還可以操作具備偽協議能力的大量第三方App。

  黑客水平很高

  應該與黑色產業鏈有關

  事件爆發后,自稱是“XcodeGhost”始作俑者的新浪微博用戶@XcodeGhost-Author發布了一封道歉信,稱XcodeGhost源於他自己進行的一項實驗,獲取的全部數據實際為基本的App信息:應用名、應用版本號、系統版本號、語言、國家名、開發者符號、App安裝時間、設備名稱、設備類型,除此之外,沒有獲取任何其他數據。他承認,出於私心,其在代碼中加入了廣告功能,希望將來可以推廣自己的應用,但從開始到最終關閉服務器,並未使用過廣告功能。而在10天前,他已主動關閉服務器,並刪除所有數據,更不會對任何人有任何影響。“XcodeGhost不會影響任何App的使用,更不會獲取隱私數據,僅僅是一段已經死亡的代碼。”

  但在安全界人士看來,進行這種黑客行為對製造者的技術水平要求很高,絕非一般人能夠所為,應該是有一個團隊在操盤,很可能是和黑色產業鏈有關係。安全界人士韓爭光認為,“這種黑客直接把木馬代碼嵌入了iOS開發工具源頭的攻擊方式在國內尚屬首次,而一旦這扇門開了,帶來的風險是不言而喻的。”

  App開發環境中毒了

  除了黑客的惡意攻擊,iOS開發者在整個事件中同樣難辭其咎。在多個國內安全實驗室給出的報告中都指出,XcodeGhost事件的罪魁禍首就是開發人員從非官方下載的Xcode,正是在這些變異的Xcode中找出了在官方版本中不存在的“系統組件”。

  為什麼國內開發者會棄官方版本不用而選用普遍意義上的“盜版”?在網絡上大部分開發者給出的解釋是,官方版本下載速度過慢,因此他們更願意使用第三方下載渠道的Xcode。因為從最終的操作環境看,兩者之間幾乎沒有差異。

  對此,《IT時報》記者採訪了數位iOS開發者后卻得出了不同的結論,“開發者說太慢可能是在找借口,”在一位來自廣州的iOS開發者看來,與iPhone用戶進入App Store的情形相同,下載Xcode偶爾的卡頓在所難免,“開發者進入Xcode有時候會很慢,尤其在網速很慢的情況下,下載或許會用到一兩個小時,但快的時候也就十幾分鐘。”

  另一方面,企業對下載源的控制也幾乎是空白,導致在大環境上無從把控。一位素來習慣使用官方軟件的iOS開發者告訴《IT時報》記者,他此前應聘過一家IT公司,公司電腦上已經安裝了Xcode開發環境,儘管是非官方,但他覺得自己沒必要再重裝開發環境,“設想一下如此循環,所有出自這家公司的軟件都有可能染上惡意病毒。”

  開發者安全意識淡薄引擔憂

  到目前為止,國內沒有任何一家企業IT安全管理對開發者的下載環境及程序進行明文要求,其中包括微信、網易雲音樂這樣的大型開發團隊。但事實上,這並非無蹤跡可尋,在國內,盜版個人軟件早已成為木馬植入的重災區,作為開發者不會全然沒有意識,“非官方下載的軟件廣告非常多,這點在第三方下載的Xcode中也存在同樣的情況。”

  讓人更為恐懼的是,類似植入開發源的惡意程序,開發者若“失守”,蘋果官方也將很難審查,因為病毒文件藏得太深了。

  事件發生后,不同平台迅速修補了漏洞,並更新了新版本。但在國內開發者中,依然並不認為事件很嚴重,“沒什麼影響啊,這個問題現在又沒有造成什麼危害。”一個小型團隊的開發者說道。未來,至少大公司應該對開發工具的下載源進行嚴格控制了。

看看這個吧

霍金想要探測比鄰星,有可能成功嗎?

>>全台最快速,高清1080p ...

蘋果購地以時光女神命名 疑有關電動汽車項目

>>每日更新50片,高清108 ...