最近,不少蘋果手機用戶都開始忙著刪除自己手機內(nèi)的“中毒”應用,iOS系統(tǒng)變得不再安全的現(xiàn)實,引起了很多人的恐慌。而在整個事件中,iOS開發(fā)者從非蘋果官方渠道下載的xcode 開發(fā)器是導致大范圍App“中毒”的重要原因,真正需要恐慌的是,國內(nèi)iOS開發(fā)者在安全操作規(guī)范上存在的“漏洞”。
事件回放
數(shù)億蘋果大面積中毒iOS首次遭遇安全危機
9月17日,國外安全公司 Paloalto發(fā)布了第一版關于XcodeGhost的分析報告,隨后阿里移動安全在國內(nèi)緊跟著發(fā)布了相關報告,由此引發(fā)一場國內(nèi)安全圈的“大地震”。據(jù)不完全統(tǒng)計,中國區(qū)App Store 商店中有接近百款常用軟件,包括微信、滴滴打車、12306、高德地圖、中國聯(lián)通手機營業(yè)廳等覆蓋率極高的應用軟件被發(fā)現(xiàn)已注入這一惡意程序。至少對數(shù)億名 iOS 用戶的個人信息造成了威脅。
整個事件的起因是,由惡意開發(fā)者制作的帶有“后門”的 Xcode(由蘋果發(fā)布的iOS 和OS X開發(fā)器),并將其上傳到網(wǎng)絡,iOS 開發(fā)者通過非蘋果官方渠道下載了這些變異的 Xcode,進行軟件開發(fā),并上架到App Store。用戶將這些帶有惡意代碼的應用同時下載到自己手機中,最終導致了大范圍傳播。
這種惡意軟件程序目前被定名為XcodeGhost,其可怕之處在于無論蘋果手機是否越獄,所有可運行iOS軟件的 iPhone、iPad 和 iPod touch 都可感染。根據(jù)騰訊安全應急中心的分析報告,受感染的App在啟動、后臺、恢復、結(jié)束時,這一惡意程序都將上報信息至黑客控制的服務器,上報的信息包括:版本、名稱、本地語言、iOS版本、設備類型、國家碼等設備信息。不僅僅如此,在后臺,黑客能夠通過上報的信息區(qū)分每一臺iOS設備,使其變成“肉雞”(被黑客遠程控制的電腦、手機等),黑客可隨時隨地下發(fā)偽協(xié)議指令,不僅能在受感染的iPhone中完成打開網(wǎng)頁、發(fā)短信、打電話等常規(guī)手機行為,甚至還可以操作具備偽協(xié)議能力的大量第三方App。
黑客水平很高
應該與黑色產(chǎn)業(yè)鏈有關
事件爆發(fā)后,自稱是“XcodeGhost”始作俑者的新浪微博用戶@XcodeGhost-Author發(fā)布了一封道歉信,稱XcodeGhost源于他自己進行的一項實驗,獲取的全部數(shù)據(jù)實際為基本的App信息:應用名、應用版本號、系統(tǒng)版本號、語言、國家名、開發(fā)者符號、App安裝時間、設備名稱、設備類型,除此之外,沒有獲取任何其他數(shù)據(jù)。他承認,出于私心,其在代碼中加入了廣告功能,希望將來可以推廣自己的應用,但從開始到最終關閉服務器,并未使用過廣告功能。而在10天前,他已主動關閉服務器,并刪除所有數(shù)據(jù),更不會對任何人有任何影響。“XcodeGhost不會影響任何App的使用,更不會獲取隱私數(shù)據(jù),僅僅是一段已經(jīng)死亡的代碼。”
但在安全界人士看來,進行這種黑客行為對制造者的技術(shù)水平要求很高,絕非一般人能夠所為,應該是有一個團隊在操盤,很可能是和黑色產(chǎn)業(yè)鏈有關系。安全界人士韓爭光認為,“這種黑客直接把木馬代碼嵌入了iOS開發(fā)工具源頭的攻擊方式在國內(nèi)尚屬首次,而一旦這扇門開了,帶來的風險是不言而喻的。”
App開發(fā)環(huán)境中毒了
除了黑客的惡意攻擊,iOS開發(fā)者在整個事件中同樣難辭其咎。在多個國內(nèi)安全實驗室給出的報告中都指出,XcodeGhost事件的罪魁禍首就是開發(fā)人員從非官方下載的Xcode,正是在這些變異的Xcode中找出了在官方版本中不存在的“系統(tǒng)組件”。
為什么國內(nèi)開發(fā)者會棄官方版本不用而選用普遍意義上的“盜版”?在網(wǎng)絡上大部分開發(fā)者給出的解釋是,官方版本下載速度過慢,因此他們更愿意使用第三方下載渠道的Xcode。因為從最終的操作環(huán)境看,兩者之間幾乎沒有差異。
對此,《IT時報》記者采訪了數(shù)位iOS開發(fā)者后卻得出了不同的結(jié)論,“開發(fā)者說太慢可能是在找借口,”在一位來自廣州的iOS開發(fā)者看來,與iPhone用戶進入App Store的情形相同,下載Xcode偶爾的卡頓在所難免,“開發(fā)者進入Xcode有時候會很慢,尤其在網(wǎng)速很慢的情況下,下載或許會用到一兩個小時,但快的時候也就十幾分鐘。”
另一方面,企業(yè)對下載源的控制也幾乎是空白,導致在大環(huán)境上無從把控。一位素來習慣使用官方軟件的iOS開發(fā)者告訴《IT時報》記者,他此前應聘過一家IT公司,公司電腦上已經(jīng)安裝了Xcode開發(fā)環(huán)境,盡管是非官方,但他覺得自己沒必要再重裝開發(fā)環(huán)境,“設想一下如此循環(huán),所有出自這家公司的軟件都有可能染上惡意病毒。”
開發(fā)者安全意識淡薄引擔憂
到目前為止,國內(nèi)沒有任何一家企業(yè)IT安全管理對開發(fā)者的下載環(huán)境及程序進行明文要求,其中包括微信、網(wǎng)易云音樂這樣的大型開發(fā)團隊。但事實上,這并非無蹤跡可尋,在國內(nèi),盜版?zhèn)€人軟件早已成為木馬植入的重災區(qū),作為開發(fā)者不會全然沒有意識,“非官方下載的軟件廣告非常多,這點在第三方下載的Xcode中也存在同樣的情況。”
讓人更為恐懼的是,類似植入開發(fā)源的惡意程序,開發(fā)者若“失守”,蘋果官方也將很難審查,因為病毒文件藏得太深了。
事件發(fā)生后,不同平臺迅速修補了漏洞,并更新了新版本。但在國內(nèi)開發(fā)者中,依然并不認為事件很嚴重,“沒什么影響啊,這個問題現(xiàn)在又沒有造成什么危害。”一個小型團隊的開發(fā)者說道。未來,至少大公司應該對開發(fā)工具的下載源進行嚴格控制了。
京公網(wǎng)安備 11010502049343號