在外界印象里，封閉的系統生態和嚴格的審查制度，使得蘋果設備似乎有天然防御危機的屏障。但事實上，蘋果的安全防御機制比想象的更加脆弱。

2013年，只用了不到30秒，國內白帽子團隊KeenTeam就遠程破解了當時蘋果最新的操作系統iOS7.0.3，獲取了該手機中的照片。2014年紐約舉辦的黑客大會上，安全專家喬納森·扎德爾斯基展示了如何利用存在于iOS后臺的“后門”服務，從iPhone中提取出大量數據。

安全領域從業人員一次次破解蘋果成為展現技術最好憑證，但對普通用戶來說，最近一次起廣泛關注的是9月18日。當天，漏洞報告平臺烏云網和硅谷安全公司Palo Alto均發布安全預警，蘋果應用商店上架的網易音樂云等應用被注入第三方惡意代碼，用戶信息或早泄露。

iOS開發者和安全行業人士開始紛紛查找受影響的App。騰訊安全應急響應中心日后披露，其曾發現AppStore中已有76款應用被感染。

Twitter用戶@fannheywrd（愛微創想iOS開發主管）爆料稱，受影響的App已蔓延至火車訂票應用12306和中信銀行卡動卡空間。一時間，網絡流傳出多種安全解讀和提醒，獵豹移動安全專家甚至提醒用戶考慮修改密碼和支付方式。

事情的轉機出現在19日上午。一個名為“XcodeGhostSource”的賬號在代碼退管網站GitHub發布“關于所謂‘XcodeGhost’的澄清”一文中稱，惡意代碼源自個人實驗，因10天前已關閉服務器，并刪除所有數據，已消除影響。不過，騰訊科技瀏覽發現，該賬號為新注冊賬號，注冊時間為2015年9月19日。

有業內人士告訴騰訊科技，該作者并不希望被外界知道其身份。也正因為此，這份澄清聲明的真實性引發業界熱議。不過，這一聲明獲得多個安全領域專家轉發。

然而，危機尚未解除。有業內人士回憶，Unix之父Ken Thompson在獲得圖靈獎發表感言時曾稱，在編譯Unix代碼的C編輯器里留有“后門”。蘋果iOS操作系統是屬于類Unix操作系統。該業內人士提醒，在對此次事件分析時發現，借助這一漏洞，黑客在獲得遠程控制權限后，可以向“中標”手機下發任意指令。

騰訊安全應急響應中心稱，9月16日已向蘋果官方同步應用被感染情況。

9月19日，蘋果向被感染手機程序開發者發出下架通知，建議手機程序編寫者下載正版開發工具，重新編譯相關程序后上傳至AppStore。

以越獄出名的盤古團隊也在當日發布了一款XcodeGhost檢測工具。該團隊稱，已檢測到超過800個不同版本的應用受到感染。不過，該消息未能得到蘋果或第三方證實。

與以往惡意程序自身攜帶病毒不同，這次安全事件中，黑客第一次把惡意代碼嵌入蘋果應用開發的源頭，欺騙對象轉向開發者。對普通用戶而言一旦使用了感染的App，其數據將上傳至黑客指定網址，而一旦有App要求用戶輸入賬戶密碼等隱私數據，隱藏在背后的灰色產業暴利相當驚人。

烏云平臺已陸續曝出多起蘋果系統級高危漏洞，在此次后門漏洞曝光過后，人們的確應當意識到，蘋果并非永遠安全的手機。

黑客利用設備信息可用于遠程控制

代碼分析結果顯示，上報的信息包括App版本、App名稱、本地語言、iOS版本、設備類型和國家碼等信息。這些信息雖然不涉及到個人用戶的隱私，但是可以精準地對不同的iOS設備進行區分。未經證實的前述聲明也表示，其代碼可以獲取的只有App的基本信息。

這意味著，通過上報信息區分每一臺iOS設備后，黑客可以通過iOS openURL這個API隨時隨地給任何人下偽協議指令。

“這時候黑客已經可以控制你的手機，達到他想要做的任何事情。”有安全專家向騰訊科技解釋，“瀏覽網頁、打電話發短只是最常見的功能，甚至可以對具備該偽協議的第三方App進行操作。”

不僅如此，黑客還可以控制彈出任何對話框，對用戶進行誘導進行更進一步的安全危害。騰訊安全應急響應中心甚至發現，利用該惡意代碼的漏洞甚至可以被中間人攻擊。后者是一種黑客常用的古老攻擊手段。

此外，騰訊安全應急響應中心還發現，除了已使用的上報域名地址“icloud-analysis.com”，此次還發現了其他三個尚未使用的域名。如果不是及時遏制，其影響范圍可能進一步擴大。

開發者下載官方版本難引出黑產尋利

XcodeGhost被大規模發現之前。國家互聯網應急中心曾在9月14日發布過預警通報。該通報稱，檢測中發現開發者使用了非蘋果官方渠道的Xcode開發工具，而該工具中被植入惡意代碼。

事實上，作為蘋果官方開發工具，Xcode可以免費從應用商店下載。那么為什么有開發者選擇了非官方渠道？

受訪的多數蘋果開發者告訴騰訊科技，原因只有一個，就是官方渠道下載速度非常慢。猿題庫iOS開發工程師唐巧在社交網絡上稱，“每次下Xcode花個幾十分鐘非常正常，這才造成大家都用迅雷和百度網盤這種非官方渠道”。

互聯網的云存儲服務只是提供了一個更為方便的下載渠道。有消息稱，此次安全危機的始作俑者的網名為“coderfun”，攜帶惡意代碼的Xcode壓縮文件上傳至百度網盤后，將下載鏈接先后發布到多個開發者聚集的社區、下載站等。騰訊安全應急響應中心稱，“coderfun”還是用了“Imznet”、“jrl568”等ID傳播下載鏈接。

據悉，惡意代碼被隱藏在了一個名為“CoreService.framework”的“系統組件”內，而官方下載的安裝包并不存在這個目錄和“系統組件”。

獵豹移動安全專家李鐵軍告訴騰訊科技，“黑產”希望通過收集用戶信息，以便廣告投放，后者存在利益空間。由于蘋果限制比較多、審查比較嚴格，常用模式無法運行，因此只能從開發環節突破。盡管是有限的個人信息，但仍然有商業價值。

所謂“黑產”，就是指靠收集個人信息，出售個人信息牟利的一群人。

漏洞會引發蘋果信任危機嗎？

事件發生后，幾家涉事公司紛紛提出了自己的。騰訊選擇了更新版本，并且在發現bug的第二天，即9月13日已完成替換。9月18日下午15時，網易云音樂通過社交網絡發布公告解釋了發生危機的原因。

盡管蘋果最終在19日下架受感染應用，但李鐵軍表示，唯一的方法是等待開發者重新發布安裝包替換。用戶可以選擇卸載，或者等待升級更新。

但蘋果在漏洞發生后一段時間的失語，讓外界有了更多的猜測。隨著自媒體的發酵以及更多的人加入討論，該漏洞被更為深入地解讀。雖然并未沒有直接的證據指出，該漏洞會竊取與財產相關的個人賬號信息，但由于此次“中招”App包括火車訂票軟件和銀行軟件，所以也有分析稱，用戶的財產安全或受到威脅。

一旦有App要求用戶輸入賬號密碼，這背后隱藏的灰色暴利將會相當驚人。中國漏洞庫專家委員會蔡晶晶接受中央電視臺采訪表示，正常用戶訪問的一次點擊廣告的價值是1至2元人民幣，一個億用戶量每個用戶推送一個廣告，我們知道背后的價值有多達，這就是傳統意義上的黑色產業鏈。

截至騰訊科技發稿時，中國市場并沒有更進一步爆發新的安全事件，也沒有相關信息和財產損失的報告 。多位受訪安全人士判斷，此次危機主要是對開發者發出了警告，敦促其避免使用來歷不明的開發工具，相反對用戶而言，影響并不大。

不過，也有分析人士指出，蘋果消極對待，也沒有對開發者和用戶及時發出提醒，或使其聲譽受損，甚至會造成更大的信任危機。