隨著XcodeGhost事件的持續(xù)發(fā)酵，安全圈在這個周末顯得尤為熱鬧，各路消息、分析、猜測甚至“陰謀論”紛至沓來。技術(shù)調(diào)查、涉事廠商名單、補(bǔ)救措施，甚至對事件始作俑者展開了人肉搜索。而19日凌晨XcodeGhost作者的道歉聲明更是將事件推向高潮，大多數(shù)技術(shù)圈人士不約而同發(fā)出了責(zé)問：盡管你開源了，但真是“無害的實(shí)驗(yàn)”?號稱影響了超過1億用戶(保守估計(jì))的后門鬼魅，一句“苦逼iOS開發(fā)者的意外發(fā)現(xiàn)”就可以推脫?

[[149720]]

盡管作者的“澄清”微博將整起事件輕描淡寫，結(jié)尾還不忘祝周末愉快，祝福雖好，但這個周末注定會有技術(shù)人們愉快不起來(例如盤古移動團(tuán)隊(duì)的兄弟們可是一宿未眠啊)。隨著時間的推進(jìn)，事件最終會走向何方，我們暫且不得而知。但通過對XcodeGhost事件整體的梳理后，我們卻不難從中看到此次事件的影響力之大，波及面之廣，以及待解的謎團(tuán)是如此之多。

事件回顧

Xcode是蘋果APP開發(fā)工具，XcodeGhost作者將惡意代碼植入到Xcode安裝包中并發(fā)布到了網(wǎng)上。不同的開發(fā)者出于一些原因沒有從官網(wǎng)下載Xcode而是下載了含有惡意代碼Xcode，于是編譯出的APP包含惡意代碼并最終走入了用戶手中。

經(jīng)多方研究發(fā)現(xiàn)，感染的APP會在程序開啟和關(guān)閉時自動上傳使用者的數(shù)據(jù)，若攻擊者有心對此加以利用也可以輕松控制用戶的設(shè)備，進(jìn)行釣魚攻擊以及中間人攻擊。

· 騰訊應(yīng)急響應(yīng)中心(TSRC)最先發(fā)現(xiàn)了這一問題，并在9月11日及時發(fā)布了微信更新。隨著CNCERT發(fā)布預(yù)警公告，這個魅影逐漸顯露出來。

· 9月16日，TSRC發(fā)現(xiàn)AppStore上的TOP5000應(yīng)用有76款被感染;9月17日，國外安全公司Palo Alto發(fā)布第一版分析報告，隨后阿里移動安全也發(fā)布了分析報告。

· 9月19日凌晨4:40，自稱XcodeGhost作者現(xiàn)身微博，發(fā)文稱XcodeGhost是“源于自己的實(shí)驗(yàn)，沒有任何威脅性行為”，收集的是app信息：“APP版本、APP名稱、本地語言、iOS版本、設(shè)備類型、國家碼等設(shè)備信息”并公布了源代碼。

惡意影響堪稱iOS應(yīng)用史上之最大

目前，根據(jù)盤古團(tuán)隊(duì)最新發(fā)布的數(shù)據(jù)顯示，已檢測到超過800個不同版本的應(yīng)用感染了XcodeGhost病毒。

之前公布的受影響APP(部分)，括號內(nèi)為版本號：

微信(6.2.5)、網(wǎng)易云音樂(2.8.3)、滴滴出行(4.0.0.6-4.0.0.0)、滴滴打車(3.9.7.1 – 3.9.7)、鐵路12306(4.5)、51卡保險箱(5.0.1)、中信銀行動卡空間(3.3.12)、中國聯(lián)通手機(jī)營業(yè)廳(3.2)、高德地圖(7.3.8)、簡書(2.9.1)、開眼(1.8.0)、Lifesmart(1.0.44)、網(wǎng)易公開課(4.2.8)、喜馬拉雅(4.3.8)、口袋記賬(1.6.0)、豆瓣閱讀、CamScanner、CamCard、SegmentFault(2.8)、炒股公開課、股市熱點(diǎn)、新三板、滴滴司機(jī)、OPlayer(2.1.05)......

盤古目前仍在檢測更多的應(yīng)用, 緊急加班開發(fā)了一款病毒檢測工具, 下載地址 x.pangu.io。蘋果用戶可以根據(jù)安裝提示自行下載檢測工具，迅速找到受影響APP。

究竟是誰揮刀斬蘋果

在作者發(fā)言“澄清”之前一個多小時前，微博上曝出了XcodeGhost作者的個人信息(截圖來自微博用戶、360安全團(tuán)隊(duì)@矮窮齪-陸羽)：

后來便是作者姍姍來遲的澄清：

“愿謠言止于真相，所謂的‘XcodeGhost’，以前是一次錯誤的實(shí)驗(yàn)，以后只是徹底死亡的代碼而已。

需要強(qiáng)調(diào)的是，XcodeGhost不會影響任何App的使用，更不會獲取隱私數(shù)據(jù)，僅僅是一段已經(jīng)死亡的代碼。”

當(dāng)然，360安全團(tuán)隊(duì)迅速提出質(zhì)疑，“你的解釋很無力，一切都太蓄意，時間也對不上，隱藏自己，變換身份的行為也充分反駁了你的解…”。

接下來，騰訊安全團(tuán)隊(duì)也稱：通過百度搜索“xcode”出來的頁面，除了指向蘋果AppStore的那幾個鏈接，其余的都是通過各種id(除了 coderfun，還有使用了很多id，如lmznet、jrl568等)在各種開發(fā)社區(qū)、人氣社區(qū)、下載站發(fā)帖，最終全鏈到了不同id的百度云盤上。為了驗(yàn)證，團(tuán)隊(duì)小伙伴們下載了近20個各版本的xcode安裝包，發(fā)現(xiàn)居然無一例外的都被植入了惡意的CoreServices.framework，可見投放這些帖子的黑客對SEO也有相當(dāng)?shù)牧私狻?/p>

安全圈知名專家tombkeeper不僅發(fā)布了XcodeGhost作者的消息全文，還評價道：

“事鬧大了，就會變成公安部督辦案件，就幾乎一定能破案，幾乎一定能找到人。這時候無論自首還是跑路都比發(fā)‘澄清’有意義得多。”

鬼影：XcodeGhost的原型?

其實(shí)早在今年三月，外媒披露的報道中已經(jīng)提及Xcode后門：

根據(jù)斯諾登近期爆料的文件顯示，CIA在美國桑迪亞(Sandia)國家實(shí)驗(yàn)室開發(fā)了一款流氓版Xcode。這個版本的Xcode會在蘋果開發(fā)者的電腦中植入后門，竊取他們的個人開發(fā)密鑰。

巧合的是，流傳的資料顯示作者正是從今年三月份開始將Ghost傳到網(wǎng)上。因此有網(wǎng)友戲稱:XcodeGhost作者是CIA(hou zi)派(qing)來(lai)的(de)間(jiu)諜(bing)嗎(ma)?

而與此觀點(diǎn)相對應(yīng)的，ZD至頂網(wǎng)安全頻道評論稱，“擔(dān)憂是必要的，但還不至于引起恐慌”。文中以目前的公開信息來看，分析出：個人用戶并不用擔(dān)心隱私數(shù)據(jù)被泄露。多家安全機(jī)構(gòu)分析顯示，受感染的APP上報的信息僅是一些設(shè)備信息。

“當(dāng)然，一個不能被驗(yàn)明正身的所謂澄清聲明也不足以為信，最終結(jié)論還有待相關(guān)組織和機(jī)構(gòu)的調(diào)查。”

孤軍作戰(zhàn)還是團(tuán)隊(duì)蓄謀?

黎明破曉后是電閃雷鳴-XcodeGhost事件之謎 一文中，安全專家RAyH4c對XcodeGhost作者的聲明質(zhì)疑道：

“這個聲明有條有理，公關(guān)味之濃到嗆鼻，還配上了源代碼為自己澄清，我想說如果這件事是哥們你一個人做的，那你確實(shí)是天才，因?yàn)槟阋砸患褐ψ屓澜缬脩袅孔畲蟮腶pp感染上了你的病毒，你將載入史冊。你覺得這樣的劇情，背后沒有團(tuán)隊(duì)，大伙信么?

Palo Alto Networks的報告給出了XcodeGhost的三個版本的分析，三個域名，同時還指出了盜取apple id的app木馬也感染了這個病毒。那么我想問一下，另外兩個版本的實(shí)驗(yàn)在哪，做了些什么事?!那些app本身就是個木馬，還感染了病毒，真是耐人尋味。”

對蘋果用戶的安全建議

盤古團(tuán)隊(duì)成員告訴FreeBuf：目前形勢依然嚴(yán)峻，他們還在加緊新版本檢測工具的開發(fā)。對于惡意代碼樣本分析網(wǎng)上已經(jīng)出現(xiàn)得很全了，不過又出現(xiàn)了變種。盡管“XcodeGhost作者”已經(jīng)將代碼開源，但是如果有人針對受感染的App進(jìn)行中間人劫持等攻擊手段，還是可以執(zhí)行的。

因此，蘋果用戶萬萬不可掉以輕心。假設(shè)這是一場“實(shí)驗(yàn)”，那也已經(jīng)步入了危險的境地。

首先，更換Apple ID密碼。然后，檢測到受影響的App如果有新版本發(fā)布，就盡量更新到最新，然后再次掃描。如果還有問題，則建議卸載，等待官方更新。

目前，蘋果公司還未對此作出回應(yīng)，但是已有不少受影響APP被從App Store下架。

蘋果公司一直以自家封閉的iOS系統(tǒng)安全性和嚴(yán)格準(zhǔn)入的APP Store市場引以為傲，Xcode后門不僅使iOS安全面臨種種質(zhì)疑，也讓蘋果被尷尬地打臉。今年陸續(xù)被曝出的iOS系統(tǒng)高危漏洞，此次后門事件的雪上加霜，也許人們該意識到——蘋果并不是“永遠(yuǎn)安全的手機(jī)系統(tǒng)”。

另一種聲音：“后門事件”炒的有點(diǎn)過火了

不過網(wǎng)絡(luò)上也出現(xiàn)了另一種聲音，有網(wǎng)友稱：“如果XcodeGhost作者所說的屬實(shí)(只收集APP信息)，一個不具備威脅性質(zhì)的代碼怎么就算個后門了，又被扣上一個用戶隱私被威脅的帽子。你自己看看PC時代上面有多少數(shù)據(jù)正在被無聲的上傳中，更何況手機(jī)時代。要知道，安全發(fā)展已經(jīng)停滯發(fā)展很久了。這就是一個無厘頭的烏龍。尤其看到這句我就想笑：‘惡意程序的主要來源：百度網(wǎng)盤、迅雷等第三方平臺。’”

注：根據(jù)騰訊的分析報告，在受感染的APP啟動、后臺、恢復(fù)、結(jié)束時上報信息至黑客控制的服務(wù)器;黑客可以下發(fā)偽協(xié)議命令在受感染的iPhone中執(zhí)行，在受感染的iPhone中彈出內(nèi)容由服務(wù)器控制的對話框窗口。這兩點(diǎn)足以說明該程序具有竊密性質(zhì)，因此FreeBuf對上述說法存保留意見。