猿題庫的 iOS 開發(fā)工程師在 9 月 17 日上午 9 點(diǎn)發(fā)了一篇微博，微博中描述了他的一位朋友在非官方渠道下載的 Xcode(蘋果軟件開發(fā)工具)居然自帶病毒文件，造成的結(jié)果是，通過 Xcode 編譯出來的 app 會(huì)被注入不知名的第三方代碼，并且向陌生網(wǎng)站發(fā)送數(shù)據(jù)。

哪些APP受到了影響?

網(wǎng)易云音樂

網(wǎng)易公開課

12306移動(dòng)端

中信銀行動(dòng)卡空間

下廚房

中國聯(lián)通手機(jī)營業(yè)廳

中國聯(lián)通的手機(jī)營業(yè)廳

高德地圖

簡(jiǎn)書

豌豆莢開眼

滴滴出行

51卡保險(xiǎn)箱

同花順

中信銀行動(dòng)卡空間

對(duì)用戶有什么影響?

目前來看，在 Xcode 中莫名加入的這段代碼并沒有什么惡意，只是收集部分?jǐn)?shù)據(jù)，但是不得不防的是，未來很可能出現(xiàn)更加帶有攻擊性的病毒注入 Xcode，那么對(duì)于用戶手機(jī)安全，這其中存在巨大的隱患。

XcodeGhost 創(chuàng)新在哪?

與以往的病毒嵌入思路不同，XcodeGhost 直接把病毒代碼嵌入了開發(fā)工具源頭，這種另類的傳播方式直接讓其在初期的傳播廣度上獲得了非常好的效果，網(wǎng)易云音樂等熱度 APP 中彈就是很好的證明。

為什么要從第三方下載 Xcode?

歸根結(jié)底的原因還是在于國內(nèi) App Store 連接速度太慢，許多程序員為了提高效率，方便下載，會(huì)直接從各大論壇和網(wǎng)盤上找第三方資源，這就給一些不良少年提供了作案機(jī)會(huì)的可能性。

始作俑者是誰?

目前烏云網(wǎng)的部分代碼專家查到代碼傳送信息指向到一個(gè)網(wǎng)址為： http://init.icloud-analysis.com的假冒網(wǎng)站(冒充蘋果官網(wǎng))，目前該網(wǎng)站已經(jīng)關(guān)閉。

有用戶舉報(bào)始作俑者的網(wǎng)名為「coderfun」，主要以各類 iOS 開發(fā)論壇和微博留言區(qū)為據(jù)點(diǎn)，提供帶有病毒版本的 Xcode 網(wǎng)盤下載地址，其中包括了從 Xcode6.1-Xcode6.4 的所有版本，目前其真身不得人知。

分析人士指出，病毒作者是個(gè)老手，并且非常小心，在代碼和服務(wù)器上都沒有留下什么痕跡，所以不排除以后還會(huì)繼續(xù)作案的可能。

目前XcodeGhost還沒有非常嚴(yán)重的惡意行為，但是這種病毒傳播方式在iOS上還是首次。

為什么影響巨大?

根據(jù)國外網(wǎng)站paloalto的分析，coderfun 所釋放的Xcode dmg文件先是被廣泛發(fā)布到了Douban, SwiftMi, CocoaChina, OSChina這幾個(gè)論壇網(wǎng)站，然后又再百度云出現(xiàn)了大量下載文件。

不僅如此，還成功感染了迅雷的離線服務(wù)器，也就是說，你常用下載軟件是迅雷的話，輸入官網(wǎng)的地址下載下來的 dmg 仍然有可能是被修改過的。

在這我們不得不佩服這個(gè)駭客四兩撥千斤的能力。

該如何應(yīng)對(duì)?

目前的許多網(wǎng)友提供了一些針對(duì)性的解決方案：

1. 從官方渠道下載 Xcode

2. 程序員開發(fā)應(yīng)該更加嚴(yán)謹(jǐn)?shù)氖褂媒?jīng)過校檢的 Xcode 開發(fā)工具

3. 蘋果改善官方 APP Store 連接速度

4. 官方 APP Store 改進(jìn) APP 審核機(jī)制

進(jìn)展

網(wǎng)易云音樂已經(jīng)針對(duì)此事發(fā)出公告

網(wǎng)友評(píng)價(jià)

@Alamo aka 狐貍：關(guān)于第三方渠道下載 Xcode 夾雜私貨的問題，我有兩句話要說，第一句是：「蘋果公司 App 審核制度過分官僚，如同地鐵安檢，形同虛設(shè)?！沟诙涫牵骸改愕?xcode.dmg 已經(jīng)簽收，簽收人：草簽」

@bちゃん：針對(duì)編譯器的病毒這種東西，我在一本很老舊的計(jì)算機(jī)病毒防護(hù)教材上看到過，也知道有個(gè) tcc 注入 login su 的后門的說法，以為這種病毒費(fèi)時(shí)費(fèi)力，估計(jì)現(xiàn)在沒什么人這么搞了。沒想到還真有人干了這種事情，還是對(duì) Xcode，真是何等喪病。我都開始懷疑是不是國內(nèi)某些公司的所為了……

@Belleve：這是個(gè)處心積慮、策劃多年的騙局，其手法之高明，說明攻擊者要么是經(jīng)驗(yàn)豐富的老道黑客，要么就是有專業(yè)的黑產(chǎn)公司。不同于年初時(shí)候那些依靠力量的攻擊，這個(gè)駭客成功地實(shí)現(xiàn)了四兩撥千斤，用最少的資源獲取到了最多的隱私資料，而且過了甚久才被察覺。

這次的攻擊絕對(duì)可以載入史冊(cè)，絕對(duì)的。