一款名为“XcodeGhost”的软件让苹果卷入了安全风波,受影响的应用超过数十款,波及用户可能过亿,这也是iOS App Store遭遇的首次大规模信息安全攻击。与以往越狱漏洞不同,此次中招的都是“正规军”,包括微信、高德地图、网易云音乐这些热门app,不禁让人出了一身冷汗。一向以安全著称的iOS为何会出现如此大的漏洞?XcodeGhost又是怎样进入用户设备的呢?以下是我们为大家整理的八个关注度较高的问题。
关于XcodeGhost 你可能关心的八个问题
·XcodeGhost是个什么鬼?
了解应用开发的朋友都知道,Xcode是苹果官方推出的一款开发工具,运行平台为Mac OS X,是开发OS X和iOS应用较为方便的途,拥有统一的用户界面设计,编码、测试、调试可以在一个简单的窗口内完成。最新版本为Xcode7正式版,编程语言Swift也已升级至2.0。
·“Xcode”为什么会出问题?
其实,这里所说的并非是苹果官方渠道,而是从第三方途径下载的Xcode,其中带有XcodeGhost病毒,后者可以通过CoreService库文件感染,将恶意代码置于所编写的app。也就是说,有些开发者可能出于方便(也可能是国内的Mac App Store总是难打开)等原因,从第三方下载了Xcode,进而导致了病毒传播。
·中毒之后有什么影响?
与此前的病毒感染应用不同,此次的XcodeGhost直接将触角延伸到了更上游的开发工具。根据多家安全机构的初步统计,受影响的应用超过百款,其中不乏微信、高德地图、滴滴出行、网易云音乐这些热门app。中毒的应用会秘密上传软件包名、系统版本、语言等信息,甚至可以骗取iCloud帐号密码及其他重要数据。
受影响的部分应用
根据微博用户@月光博客 的说法,黑客能够像控制肉鸡一样控制每一台感染XcodeGhost的iOS设备,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行,不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为,甚至还可以操作具备伪协议能力的大量第三方APP。
·Ghost面前,应该怎么办?
对于用户来说,如今iOS系统已经越来越完善,如果不是特别必要,尽量不要尝试越狱,只从官方App Store商店下载应用即可。如果有第三方试图获取iCloud密码、手机验证码等信息,需要谨慎判别后再决定。同时,受影响的app已经针对相关版本进行了升级,修复了漏洞,用户应该及时更新。要是之前在弹窗中输入过密码,建议进行修改。
XcodeGhost发起的“伪装”请求
对于开发者而言,首先就是逐一排查所用的Xcode是否受到感染,或者直接删除从非官方渠道下载的版本,替换为官方版。其次,编译和发布环境也需要确保安全,不要安装来源不明的可疑软件。如果上线的app是由被感染的Xcode开发,那么应使用官方版本进行清理、重新编译,再提交App Store审核。
·危机来袭,苹果是否不再安全?
相比开源平台,苹果系统一直以“安全、稳定”著称,而此次黑客们直接将目光投向app的源头——开发工具,或许也是苹果没想到的。此次事件告诉我们,不能过度依赖手机的安全性,并非没有中毒就是安全,还是从自身开始树立安全防范意识,定期修改密码,注意识别钓鱼软件。
苹果势必将加强安全审查的严格程度
一般来说,用户从官方App Store下载应用是最为保险的,这些app都经过了苹果的审核。当然,这次的漏洞是苹果的疏忽,其未来势必会收紧安全审查的严格程度。
·出了这么大的事儿,苹果怎么说?
苹果称,正在对iOS App Store进行清理,删除其中的恶意应用。该公司克里斯汀·莫纳汉在一封电子邮件中表示:“我们已经从App Store删除了这些基于伪造工具开发的应用。我们正在与开发者合作,确保他们使用合适版本的Xcode去重新开发应用。”不过,莫纳汉并未透露iPhone和iPad用户可以采用怎样的措施确认设备是否受到影响。
苹果的说法与此前报道基本一致,即“在此次攻击中,黑客诱骗应用开发者使用了修改过的苹果应用开发工具Xcode,从而将恶意代码注入至这些应用。”
·这件事的始作俑者是谁?
XcodeGhost爆发之后,自称是该软件作者的人发表了一篇致歉文章,称自己是出于私心,在代码里加入了广告功能。其也提到,已经在10多天前关闭了服务器,并删除了所有数据。
以下是信件原文:
“XcodeGhost” Source关于所谓”XcodeGhost”的澄清
首先,我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验,没有任何威胁性行为,详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost。
所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现:修改Xcode编译配置文本可以加载指定的代码文件,于是我写下上述附件中的代码去尝试,并上传到自己的网盘中。
在代码中获取的全部数据实际为基本的app信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型。除此之外,没有获取任何其他数据。需要郑重说明的是:出于私心,我在代码加入了广告功能,希望将来可以推广自己的应用(有心人可以比对附件源代码做校验)。但实际上,从开始到最终关闭服务器,我并未使用过广告功能。而在10天前,我已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。
愿谣言止于真相,所谓的“XcodeGhost”,以前是一次错误的实验,以后只是彻底死亡的代码而已。
需要强调的是,XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。
再次真诚的致歉,愿大家周末愉快
·ZOL APP是否涉及安全问题?
ZOL app客户端没有受到XcodeGhost事件影响,用户账户信息有安全保障。
