近日爆發(fā)的開發(fā)者使用第三方渠道下載的受感染的 Xcode 編譯器開發(fā)應(yīng)用，致使應(yīng)用攜帶 XcodeGhost 病毒的事件已經(jīng)持續(xù)發(fā)酵，除了昨天的報道之外，到現(xiàn)在為止，又有進一步發(fā)展，總結(jié)起來就是以下三點更新：

【更新一】中招應(yīng)用在不斷擴大中，360 網(wǎng)絡(luò)攻防實驗室在跟進此事，不斷更新名單，除了昨天已經(jīng)確認的之外，還有按照版本號定位的百度音樂(5.2.7.3 – 5.2.7 )、窮游(6.4.1 – 6.4 )、南方航空(2.6.5.0730 – 2.6.5)、天涯社區(qū)(2.1)、微信(6.2.5 )等等應(yīng)用，查看名單更新請點擊此處(或前往 360 網(wǎng)絡(luò)攻防實驗室頁面)，目前可以確認的應(yīng)用及具體版本號如下：

開眼 1.8.0
聯(lián)通手機營業(yè)廳 3.2
媽媽圈 5.3.0
南方航空 2.6.5.0730 – 2.6.5
南京銀行 3.6 – 3.0.4
逆轉(zhuǎn)三國 5.80.5 – 5.80
窮游 6.4.1
窮游 6.4.1 – 6.4
三國名將 4.5.0.1 – 4.5.1
天使房貸 5.3.0.2 – 5.3.0
天涯社區(qū) 5.1.0
鐵路 12306 2.1
同花順 9.60.01
同花順 9.26.03
圖釘 7.7.2
網(wǎng)易公開課 4.2.8
網(wǎng)易云音樂 2.8.3
網(wǎng)易云音樂 2.8.1
微信 6.2.5
我叫 MT 4.6.2
我叫 MT2 1.8.5
下廚房 4.3.2
下廚房 4.3.1
造夢西游 OL 4.6.0
診療助手 7.2.3
自由之戰(zhàn) 1.0.9
卷皮 3.3.1
簡書 2.9.1
股票雷達 5.6.1 – 5.6
高德地圖 7.3.8.1040 – 7.3.8
高德地圖 7.3.8.2037
夫妻床頭話 2.0.1
動卡空間 3.4.4.1 – 3.4.4
電話歸屬地助手 3.6.3
滴滴打車 3.9.7.1 – 3.9.7
滴滴出行 4.0.0
炒股公開課 3.10.02 – 3.10.01
百度音樂 5.2.7.3 – 5.2.7
YaYa 藥師 1.1.1
YaYa 6.4.3 – 6.4
WO + 創(chuàng)富 2.0.6 – 2.0.4
WallpaperFlip 1.8
VGO 視信 1.6.0
UME 電影票 2.9.4
UA 電影票 2.9.2
Theme 2.4 – 2.4
Theme 2.4.2 – 2.4
Phone+ 3.3.6
Perfect365 4.6.16
OPlayer Lite 21051 – 2105
MTP 管理微學(xué) 1.0.0 – 2.0.1
Mail Attach 2.3.2 – 2.3
Jewels Quest 2 3.39
How Old Do I Look? How Old Am I? -Face Age Camera 3.6.7
H3C 易查通 2.3 – 2.2
Digit God 2.0.4 – 2.0
Cute CUT 1.7
CarrotFantasy 1.7.0.1 – 1.7.0
CamCard 6.3.2.9095 – 6.3.2
Albums 2.9.2
AA 記賬 1.8.7 – 1.8
51 卡保險箱 5.0.1
2345 瀏覽器 4.0.1

除了上面這些不幸被感染的 app 外，也有一些千萬量級的超級 app 未受到影響。比如新聞客戶端“今日頭條”就在官方聲明中表示，使用的是蘋果官方 Xcode 開發(fā)工具，沒有被注入惡意代碼。估計隨著事件進一步發(fā)酵，會有越來越多的應(yīng)用開發(fā)者做出回應(yīng)，確認 app 的安全與否。

【更新二】作為下載渠道方，迅雷也發(fā)出公告：迅雷服務(wù)器并未受到感染，并第一時間安排工程師進行檢測。工程師測試了烏云網(wǎng)原文中提到的 Xcode6.4 和 7.0 兩個版本的下載，檢查了索引服務(wù)器中的文件校驗信息，并對比了離線服務(wù)器上的文件，結(jié)果都與蘋果官方下載地址的文件信息一致。也就是說，官方鏈接的 Xcode 經(jīng)迅雷下載不會被植入惡意代碼。

【更新三】經(jīng)過 Saic 的研究，推斷 XcodeGhost 的攻擊模式是：在用戶安裝了目標(biāo)應(yīng)用后，木馬會向服務(wù)器發(fā)送用戶數(shù)據(jù)。服務(wù)器根據(jù)需要返回模擬彈窗。彈窗可以是提示支付失敗，請到目標(biāo)地址付款，也可以是某個軟件的企業(yè)安裝包。用戶被誘導(dǎo)安裝未經(jīng)審核的安裝包后，程序可以調(diào)用系統(tǒng)的私有 API，實現(xiàn)進一步的攻擊目的。