网名为“coderfun”的木马病毒制造嫌疑人的百度个人简介截图。
Xcode是苹果公司提供的集成开发环境,iPhone上很多 App都是用 Xcode编写出来的。然而9月17日晚,“猿题库”App的 iOS开发工程师@唐巧_boy发布一条微博称,有些(在中国)通过非苹果公司官方渠道下载的 Xcode开发出来的 App,被注入了其他代码(木马病毒),会自动向某网站上传数据。此言一出立即引起轩然大波,不少用户量庞大的苹果手机 App相继被发现感染病毒。
由于中国政府在其互联网边界设置审查系统“防火长城”(Great Firewall,GFW),在屏蔽 Facebook、Twitter、YouTube等当局认为是“敏感”网站的同时,也使得其他国外网站对中国用户的数据传输速度变得极为缓慢。又因为 Xcode软件比较大,从苹果官网下载耗时太长,很多中国开发者便选择从百度云、迅雷等国内软件平台下载非官方版本,从而为可能感染木马病毒留下隐患。
很多开发者由于使用了写有第三方病毒代码的 Xcode软件,开发出的应用产品也被“遗传”成为病毒携带者。据360网路攻防实验室测试发现,受到此木马病毒影响的 App有:
微信6.2.5
12306移动端(中国铁路客服中心)2.12
滴滴出行4.0.0.6
滴滴打车3.9.7
高德地图7.3.8
中国联通网上营业厅3.2
中信银行动卡空间3.3.12
简书2.9.1
豌豆荚的开眼1.8.0
穷游6.4.1
网易云音乐2.8.3
网易公开课4.2.8
下厨房4.3.2
51卡保险箱5.0.1
愤怒的小鸟22.1.1
等数十种 iOS应用。
网易云音乐18日下午发表官方声明承认受到感染,但表示病毒只会上传一些 iPhone端应用“产品自身的部分基本信息(安装时间、应用 id、应用名称、系统版本、语言、国家)”,“无法调取和泄漏用户的个人信息”。然而也有网路开发工程师称,这种攻击方法理论上可以植入任何恶意代码;而如果服务器上线或域名重定向,也可能继续接受隐私信息。
据多名代码专家追踪发现,病毒代码会将获取的信息传送到一个网址为 http://init.icloud-analysis.com的假冒苹果官网,目前该网站的服务器已经关闭。多家产品官方声明及有分析称,在 Xcode中注入的代码并没有什么恶意;然而“Clover·四叶新媒体”联合创始人 Saic检测发现,这个木马程序向服务器发出用户数据后,会返回模拟弹窗提示“支付失败”,并将用户引导到其他付款地址或某个软件的企业安装包。
有网友将病毒制造嫌疑人锁定为百度贴吧中的“coderfun”用户,其注册信息为“男”,出生于“北京东城区”,他曾于3月12日在百度贴吧分享了一个 Xcode6.2版本的网盘地址。然而目前尚无权威消息证实病毒出自该用户之手。
在消息混乱、网民恐慌之时,多家网路技术平台纷纷发文,指导开发者和用户如何辨识和避免被病毒侵害。
乌云知识库文章指,对于新下载安装或正在使用的 Xcode,可以通过查看软件的哈希值(HASH)是否与官方相符,来验证有没有感染病毒,例如,有问题的 Xcode6.4.dmg的哈希值是:a836d8fa0fce198e061b7b38b826178b44c053a8,而官方正确的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0。
此外,开发者为了防止 App被插入恶意库文件,除了要检测/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs”目录下是否有可疑的 framework文件之外,还应该检测一下 Target> Build Setting> Search Paths> Framework Search Paths中的设置,查看是否有可疑的 frameworks混杂其中。
对于苹果手机用户来说,需要格外注意的是开启 iCloud两步验证功能,可有效防止隐私信息泄漏。Saic也提醒用户,“如果之前有遇到任何程序弹出非系统需要输入 Apple ID或密码的网站,并输入过密码的,还请尽早修改(密码)”。
61据360安全播报平台公布,截止19日凌晨1点,已发现61个苹果手机 App受到该木马病毒的影响。
声音
虽然官方都说泄漏的非敏感信息,苹果的 App也都严格隔离,但理论上这种攻击方法可以植入任何恶意代码。所以大家还是慎用国产软件吧。
——中国网路开发工程师
目前已知漏洞会收集用户信息,以及模仿 iCloud登陆界面,要求用户输入帐号密码。
——360安全播报平台作者360NiranTeam涅盘
看到大家清一色在骂,我来解释一下吧,使用非官方 Xcode的原因大多是:阅兵期间前后国外线路十分不稳定,高达5G大小的 Xcode无法顺利下载。你们该骂谁心里清楚,别一遇到问题就把屎盆扣给一线开发者。
——工程师@刘镇夫
木马
木马(Trojan),也称木马病毒,名字来源于“特洛伊木马”(Trojan Horse),指的是一种后门程序;是黑客用来盗取其他用户的个人资讯,甚至是远端控制对方的电脑而加壳制作,然后通过各种手段传播或者骗取目标用户执行该程序,以达到盗取密码等各种数据资料等目的。与病毒相似,木马程式有很强的隐秘性,随作业系统启动而启动。(资料来自维基百科)
