日前,苹果旗下的应用软件商店App-Store首次遭遇程序黑客攻击,在数百个应用软件中发现病毒。近日网上爆出苹果被黑的罪魁祸首是中共用来封网的网络防火墙。苹果官方的开发工具Xcode由于中共的封网很难正常下载,黑客趁机在国内网络上发布植入病毒的Xcode版本供开发者们下载,从而导致用此工具开发出的数百个应用软件染毒。真相曝光后,网友纷纷谴责中共封网。同时网上一些技术平台也发文指导开发者和苹果手机用户如何避免病毒侵害。
苹果应用商店不再安全
德国之声中文网报道,苹果旗下的应用软件商店App-Store首次遭遇程序黑客攻击。数家网络安全公司宣称在数百个应用软件中发现病毒后,美国数码产品制造商苹果于周日也承认确有此事。到目前为止,还不清楚病毒软件是如何通过苹果的检查。
网络安全技术公司发现,黑客仿造了一个苹果为程序设计者推出的软件,并秘密的向该软件注入病毒程序。由于程序设计非常精良,普通用户难以分辨真假。通过这个设计软件编写的应用程序都会自动携带病毒。
但到目前为止,还没有数据被窃或造成其它损失的迹象。这一事件发生前,苹果应用软件商店的产品只有5款曾被病毒感染过。
受影响用户过亿
此次应用软件被黑是苹果历史上受到的最大一次攻击。
据腾讯安全应急响应中心的文章,至少76款苹果应用被病毒入侵,受影响用户超过一亿,安装这些应用的 iPhone/ iPad用户可能泄露基本的信息。
中共网络防火长城是罪魁祸首
美国《财富》杂志分析认为,中国政府设置的“长城防火墙”是导致此次中国苹果商店中应用软件遭受病毒侵袭的一个重要原因。
从1998年起,中共在其互联网边界设置审查系统“防火长城”(Great Firewall,GFW),其主要作用主要是监控国际网关上的通讯,对认为不符合中共官方要求的传输内容,进行干扰、阻断、屏蔽。由于中国网络审查广泛,中国国内含有“不合适”内容的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤中国境外网络的资讯互相存取。近年来,GFW的网络封锁越来越严重。
此次苹果应用染毒事件中,黑客攻击的目标是程序开发者在编写应用软件时所使用的编写工具Xcode。Xcode是苹果公司提供的集成开发环境,iPhone上很多 App都是用 Xcode编写出来的。
由于中共“防火长城”在屏蔽“敏感”网站的同时,也使得其他国外网站对中国用户的数据传输速度受到很大限制。又因为 Xcode软件比较大,从苹果官网下载耗时太长,甚至无法成功下载,所以很多中国开发者便选择从百度云、迅雷等国内软件平台下载非官方版本。于是病毒就通过Xcode被植入多款应用软件中。
9月17日晚,“猿题库”App的 iOS开发工程师@唐巧_boy发布一条微博称,有些(在中国)通过非苹果公司官方渠道下载的 Xcode开发出来的 App,被注入了其他代码(木马病毒),会自动向某网站上传数据。此言一出立即引起轩然大波,不少用户量庞大的苹果手机 App相继被发现感染病毒。
很多开发者由于使用了写有第三方病毒代码的 Xcode软件,开发出的应用产品也被“遗传”成为病毒携带者。
消息传出后,果粉阴谋论四起。中央社援引 Michael Hunt的话称:“这可能是中国政府干的,因为苹果一定是仅有的几个中国仍无法渗透的行动装置之一。中国这麽做可能是要监控使用苹果装置的公民,就像他们监控中国製造商或其他在中国贩售的安卓装置那样。”
网友评论:该骂谁心里清楚
苹果染毒事件,引发网络沸腾。网友纷纷表达自己的看法。
“中国网路开发工程师”称:虽然官方都说泄漏的非敏感信息,苹果的 App也都严格隔离,但理论上这种攻击方法可以植入任何恶意代码。所以大家还是慎用国产软件吧。
“工程师@刘镇夫”则表示:看到大家清一色在骂,我来解释一下吧,使用非官方 Xcode的原因大多是:阅兵期间前后国外线路十分不稳定,高达5G大小的 Xcode无法顺利下载。你们该骂谁心里清楚,别一遇到问题就把屎盆扣给一线开发者。
病毒制造者或被锁定
有网友将病毒制造嫌疑人锁定为百度贴吧中的“coderfun”用户,其注册信息为“男”,出生于“北京东城区”,他曾于3月12日在百度贴吧分享了一个 Xcode6.2版本的网盘地址。然而目前尚无权威消息证实病毒出自该用户之手。
网名为“coderfun”的木马病毒制造嫌疑人的百度个人简介截图
病毒危害及补救措施
据360网路攻防实验室测试发现,受到此木马病毒影响的 App有:
微信6.2.5
12306移动端(中国铁路客服中心)2.12
滴滴出行4.0.0.6
滴滴打车3.9.7
高德地图7.3.8
中国联通网上营业厅3.2
中信银行动卡空间3.3.12
简书2.9.1
豌豆荚的开眼1.8.0
穷游6.4.1
网易云音乐2.8.3
网易公开课4.2.8
下厨房4.3.2
51卡保险箱5.0.1
愤怒的小鸟22.1.1
等数十种 iOS应用。
据多名代码专家追踪发现,病毒代码会将获取的信息传送到一个网址为 http://init.icloud-analysis.com的假冒苹果官网,目前该网站的服务器已经关闭。多家产品官方声明及有分析称,在 Xcode中注入的代码并没有什么恶意;然而“Clover·四叶新媒体”联合创始人 Saic检测发现,这个木马程序向服务器发出用户数据后,会返回模拟弹窗提示“支付失败”,并将用户引导到其他付款地址或某个软件的企业安装包。
在消息混乱、网民恐慌之时,多家网路技术平台纷纷发文,指导开发者和用户如何辨识和避免被病毒侵害。
乌云知识库文章指,对于新下载安装或正在使用的 Xcode,可以通过查看软件的哈希值(HASH)是否与官方相符,来验证有没有感染病毒,例如,有问题的 Xcode6.4.dmg的哈希值是:a836d8fa0fce198e061b7b38b826178b44c053a8,而官方正确的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0。
此外,开发者为了防止 App被插入恶意库文件,除了要检测/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs”目录下是否有可疑的 framework文件之外,还应该检测一下 Target> Build Setting> Search Paths> Framework Search Paths中的设置,查看是否有可疑的 frameworks混杂其中。
对于苹果手机用户来说,需要格外注意的是开启 iCloud两步验证功能,可有效防止隐私信息泄漏。Saic也提醒用户,“如果之前有遇到任何程序弹出非系统需要输入 Apple ID或密码的网站,并输入过密码的,还请尽早修改(密码)”。
阿波罗网于飞报道
