赞助商

Xcode事件十问

lytword2015-09-22楼主
今天,微博和头条纷纷被Xcode感染刷屏,大意是包括微信网易云音乐在内的一大堆APP纷纷被植入了恶意代码,该恶意代码会自动搜集信息并发送至服务器。然而由于术语太多,有些小伙伴表示看不懂。那么我来做个简单的科普,告诉大家究竟发生了什么。

废话少说,改用问答形式吧。




1、什么是Xcode?

Xcode是苹果公司推出的集成开发工具,运行在Mac OS X上,用于开发OS X 和 iOS 应用程序。

通俗点说,Xcode是程序员干活的工具,就好比厨师的菜刀,也是他们的好基友,他们用它开发APP。




2、Xcode事件起因

国内多个厂商的App使用了第三方途径下载的Xcode(非Apple正规途径),其编译后应用会自动发送信息至第三方服务器。此次事件被称为XcodeGhost病毒事件或者Xcode木马事件。

据360NiranTeam(涅槃)团队分析,受影响的App包括
 微信 -6.2.5
 滴滴出行 - 4.0.0
 滴滴打车 - 3.9.7
 联通手机营业厅 - 3.2
 高德地图 - 7.3.8.2037
 铁路12306 - 2.1
 同花顺 - 9.26.03
 同花顺- 9.26.01
 自由之战 - 1.0.9
 我叫MT - 4.6.2
 我叫MT 2 - 1.8.5
 电话归属地助手 - 3.6.3
 夫妻床头话 - 2.0.1
 穷游 - 6.4.1
 网易云音乐 - 2.8.3
 简书 - 2.9.1
 网易公开课 - 4.2.8
 下厨房 - 4.3.2
 51卡保险箱 - 5.0.1
 开眼 - 1.8.0




3、被感染的APP泄漏了那些信息?

具体信息包括:时间、应用名字、应用标识ID、设备名字与类型、系统区域及语言、设备唯一标识UUID、网络类型。

表面上看,这些信息并不十分致命,并且在该事件曝光后,接受信息的服务器也已经关闭。因此网易云音乐发布公告称“不存在威胁用户个人信息安全”。

然而,四叶新媒体联合创始人,微博用户@Saic 表示:

拿文件看了一下,这个木马劫持了所有系统的弹窗(例如 IAP 支付),然后向目标服务器发送了加密数据,目前还不知怎么解密发出去的请求。

PS:IAP支付即 In-App Purchase,也就常说的内购。

也就是说,当你在手游里面买钻石的时候,就有加密数据被发送到了病毒作者的服务器,由于还没解密,因此暂不清楚发送了什么数据。

然而,最可怕的是这种方法。理论上,这种方法可以利用到的程度绝对不止窃取信息而已。




4、只影响越狱用户?

不!不!不!(重要的事情说三遍),不管是否越狱,只要安装了受感染APP仍会受到影响。

并且,无论你是通过Apple Store下载安装还是通过其他手机助手安装,都无法避免。因为厂商发布的版本已经被感染了。

还是那句话:厨子的刀已经带菌了,并不在乎你点什么菜。




5、普通用户能做什么

除了祈祷,好像也做不了什么。。。。

一般来说,这种大规模的信息泄露之后,第一反应是修改iCloud密码,其次,请尽量启用两步验证。

具体方法参见:http://jingyan.baidu.com/article/84b4f565cb4bfa60f6da32e3.html

两步验证是一种更加有利于账号安全性的服务,开启该服务后,你在管理自己的 Apple 账号或进行修改密码时都需要进行此项验证,它会给你设置的手机发送验证码,相当于一个动态口令。




6、谁的锅?

这个问题比较复杂。

首先,由于感染途径是开发者们使用了第三方途径下载的Xcode编译工具,就好比酒店的大厨从冒牌张小泉那儿购买了带菌的宝刀。因此,需要质问的下一个问题是,程序员们为什么要从第三方途径下载Xcode?

Xcode






7、程序员们为什么要从第三方途径下载Xcode?

答案很复杂,这是一个很有心机的故事。

由于Xcode套件本身免费,因此并不存在破解版一说。相反,由于通过苹果官方直接连接速度可能较慢(只是“可能”,实际上以大公司的网络性能,一般下载速度是很快的),所以很多程序员通过某些技术论坛寻求其他速度较快的下载渠道。这其中就包括网盘迅雷

腾讯安全应急响应中心撰文称:

通过百度搜索“xcode”出来的页面,除了指向苹果AppStore的那几个链接,其余的都是背后黑手通过各种id在各种开发社区、人气社区、下载站发的帖,然后最终全部链接到了不同id的百度云盘上。为了验证,团队小伙伴们下载了近20个各版本的xcode安装包,发现居然无一例外的都是被感染版本。

此外,还有很多程序员将官方下载地址复制进入了迅雷,迅雷为提高下载速度,会从很多第三方下载源下载软件,从而导致感染。

因此,这是一起【不在官方旗舰店买菜刀盲目信任代购】所导致的安全事故。

在这里不得不提一句:下载文件一定要谨慎。一定要确保自己下载的文件是“干净”的文件。至于方法,请看下一个问题。
完整内容点此查看
回复
高级模式
解放号
解放号

加入小组

一个平台,一种生活,解放号 启航