iOS一直以安全著稱,也是其用戶貶低Android的一個(gè)重要理由,可誰想一夜之間,iOS上的惡意軟件泛濫成災(zāi),更無語的是這些惡意軟件是由官方APP變成的,比Android市場(chǎng)上仿冒官方的惡意軟件還令人莫名驚詫!
為什么會(huì)這樣?之前,一個(gè)被修改過的Xcode在國(guó)內(nèi)的網(wǎng)盤和論壇上被傳播,而這個(gè)版本的Xcode會(huì)在編譯出來的APP里加一些可以被遠(yuǎn)程控制的代碼,并且發(fā)送數(shù)據(jù)到某個(gè)服務(wù)器上。據(jù)估算,受到影響的用戶數(shù)量會(huì)超過1億。這是iOS出現(xiàn)以來,未越獄系統(tǒng)遭遇到的最大安全隱患——不是蘋果無能,而是黑客太狡猾!
事件進(jìn)展從下架到上架 焦慮48小時(shí)9月20日晚上11點(diǎn)多,國(guó)內(nèi)某創(chuàng)業(yè)公司運(yùn)營(yíng)部負(fù)責(zé)人張揚(yáng)(化名)剛從首都機(jī)場(chǎng)降落,就開始在手機(jī)里刷郵件和公司微信群。公司內(nèi)部孵化的新APP已經(jīng)上線半年了,剛剛度過調(diào)試階段,進(jìn)入用戶口碑傳播的高速增長(zhǎng)期,加上他們部門剛剛投放的推廣計(jì)劃,軟件的用戶數(shù)每天都會(huì)增加500個(gè)以上。正因?yàn)槿绱?,他才難得的申請(qǐng)到年假出去轉(zhuǎn)了一圈,可沒想降落,就發(fā)現(xiàn)這兩天的數(shù)據(jù)有大問題。從9月19日下午開始,軟件的用戶增長(zhǎng)突然就停滯了,一直持續(xù)到9月20日。這時(shí)候張揚(yáng)才看到公司郵箱里一封來自蘋果的郵件,原來公司的軟件被蘋果下架了!
這封英文郵件讓張揚(yáng)剛剛度假完的好心情跌到谷底。郵件里的大概內(nèi)容是:告知它們的APP有感染Xcode的風(fēng)險(xiǎn)所以被下架,通知他們從蘋果的官方渠道下載Xcode,重新提交升級(jí)過的軟件才能上架。張揚(yáng)心里“咯噔”一下,完全顧不上剛下飛機(jī),飛了十多個(gè)小時(shí)的疲憊,立馬進(jìn)入公司成立的小群里召開緊急會(huì)議。
張揚(yáng)在網(wǎng)上搜索新聞才發(fā)現(xiàn),很多大的商業(yè)軟件也都被卷入了這場(chǎng)事件。國(guó)內(nèi)知名“越獄”以及移動(dòng)互聯(lián)網(wǎng)安全研究團(tuán)隊(duì)盤古表示,已經(jīng)檢測(cè)到超過800個(gè)不同版本的應(yīng)用感染了XcodeGhost病毒,更多的應(yīng)用仍在檢測(cè)中。
小貼士:什么是Xcode?
Xcode 是開發(fā) iPhone / iPad 應(yīng)用使用最廣泛的開發(fā)工具,承擔(dān)了將編程代碼轉(zhuǎn)換為可以實(shí)際運(yùn)行程序的工作(簡(jiǎn)稱編譯)。Xcode 通常跟隨著 iOS 操作系統(tǒng)的版本更新而升級(jí),如果需要在應(yīng)用中支持一些新功能,例如通知中心掛件,Apple Watch 上的應(yīng)用。需要使用最新版本的 Xcode 進(jìn)行開發(fā),編譯并提交至蘋果,蘋果審核后發(fā)布到 App Store。一般情況下,開發(fā)者應(yīng)該通過蘋果官方的 Mac 應(yīng)用商店 (Mac App Store) 來下載正版的 Xcode,一個(gè) Xcode 的大小通常在 2G ~ 4G 左右。
實(shí)際上,早在9月14日,CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)發(fā)布預(yù)警,指出開發(fā)者使用非蘋果公司官方渠道的Xcode工具開發(fā)蘋果應(yīng)用程序(蘋果APP)時(shí),會(huì)向正常的蘋果APP中植入惡意代碼。被植入惡意程序的蘋果APP可以在App Store正常下載并安裝使用。該惡意代碼具有信息竊取行為,并具有進(jìn)行惡意遠(yuǎn)程控制的功能。但當(dāng)時(shí)該預(yù)警并沒有廣泛引起人們注意。
隨著騰訊、阿里移動(dòng)、烏云等多個(gè)安全公司發(fā)布報(bào)告并且公布受感染的app,包括12306、滴滴出行、高德地圖等熱門應(yīng)用,這件事情才開始發(fā)酵開來。
到9月19日,蘋果公司開始下架受感染的app。接著,張揚(yáng)所在的公司也收到了來自蘋果的下架通知郵件。
這可能是蘋果AppStore上線以來,涉及用戶數(shù)最多的一起安全事件。“這次事件影響很大,不然蘋果不至于下架這么多的流行應(yīng)用。”盤古團(tuán)隊(duì)的小G在接受熊熊采訪時(shí)說道。
實(shí)際上,在業(yè)內(nèi)人士看來,這是迄今為止手機(jī)行業(yè)最大的一次安全事件,至少有過億用戶受到影響。微信、高德地圖、滴滴打車、網(wǎng)易云音樂等一些知名app都在第一時(shí)間對(duì)外承認(rèn)受到了XcodeGhost的影響,不過這些公司在聲明里都表示,這一事件不會(huì)對(duì)用戶的信息安全造成威脅,并且已經(jīng)發(fā)布了修復(fù)惡意程序的新版本應(yīng)用,用戶自行升級(jí)就可以解決。
直到9月22日深夜,整整48個(gè)小時(shí)過去,張揚(yáng)所在的公司的開發(fā)團(tuán)隊(duì)才重新上線了軟件。“我們的開發(fā)是外包的,他們不僅處理了我們的軟件,幾乎兩天無休的還處理了其它一些外包軟件的重新上線。”剛剛放完大假的張揚(yáng)感覺兩天打了一場(chǎng)仗,“以前沒覺得安全事件和我們這類公司有太大關(guān)系,這次事件算是敲響了一次警鐘。”
揭秘:XcodeGhost干了什么?XcodeGhost到底干了什么?XcodeGhost就是一個(gè)源碼病毒,可以將惡意代碼加入編譯器,這樣編譯器編譯出來的程序都自然攜帶后門,黑客可以使用這些后門來做壞事,具體到XcodeGhost就是收集iOS的全部信息,并在受感染iPhone中彈出內(nèi)容由服務(wù)器控制的對(duì)話窗口。
XcodeGhost作者通過第一個(gè)動(dòng)作獲得的信息來精準(zhǔn)區(qū)分不同iPhone用戶,然后再通過第二個(gè)動(dòng)作實(shí)現(xiàn)進(jìn)一步的攻擊:可能是偽裝在內(nèi)購頁面套取你的iCloud密碼;也可能是偽裝成支付失敗,請(qǐng)到某某支付寶放付款的滋養(yǎng),來獲得金錢等等。
當(dāng)然,這種攻擊也是非常好識(shí)破的。比如XcodeGhost再偽裝內(nèi)購彈窗時(shí),你會(huì)發(fā)現(xiàn)它需要輸入Apple ID。但用過蘋果的用戶都知道,Apple ID在iOS系統(tǒng)內(nèi)部屬于優(yōu)先級(jí)很高的信息,內(nèi)購彈窗一般都會(huì)默認(rèn)填好Apple ID賬號(hào)(除了AppStore以外),只要你輸入密碼。所以一旦發(fā)現(xiàn)需要手動(dòng)輸入Apple ID賬戶的應(yīng)用彈窗,基本可以確認(rèn)就是XcodeGhost的釣魚行為了。
此外,蘋果的iOS系統(tǒng)一直被認(rèn)為很安全是由于蘋果對(duì)于APP有著嚴(yán)格的安全審核機(jī)制,為什么會(huì)有數(shù)量如此龐大的商業(yè)軟件中招?這次病毒為何能夠輕易騙過蘋果?
一位開發(fā)者對(duì)熊熊表示,這主要是因?yàn)椴《臼占男畔⒉⒉?lsquo;敏感’,和很多國(guó)內(nèi)app收集的信息相似,所以這次蘋果并沒有在第一時(shí)間就發(fā)現(xiàn)。
而對(duì)于數(shù)量龐大的商業(yè)軟件中招原因就更多了。“首先主要還是因?yàn)镚FW(Great Firewall of China。防火長(zhǎng)城,指中國(guó)防火墻)的影響下,大量國(guó)外網(wǎng)站不能訪問或者難于訪問,很多怕麻煩的開發(fā)者就會(huì)選擇國(guó)內(nèi)替代品。”一位不愿意具名的程序員對(duì)本報(bào)記者表示,“從蘋果官方渠道升級(jí)Xcode速度太慢了,最少要十幾個(gè)小時(shí),中間中斷了可能還要重新下載,這種速度對(duì)于如今講究高效開發(fā)的我們來說,真是很耽誤時(shí)間的事兒。”
還有一位開發(fā)者也對(duì)熊熊表示,現(xiàn)在很多開發(fā)者為了趕進(jìn)度用盜版軟件是家常便飯,另外根本布可能對(duì)所有代碼進(jìn)行審查,這要耗費(fèi)太大的精力。
分析:三大疑問解惑謎團(tuán)疑問一:潛在影響有多大?在瑞星安全研究院院長(zhǎng)劉思宇看來,本次攻擊事件的發(fā)生絕非偶然,這是一次蓄謀已久的針對(duì)APP開發(fā)者的"水坑攻擊",其危害之大、范圍之廣,史無前例,也很大程度上挑戰(zhàn)了iOS以及蘋果APP生態(tài)鏈的安全性。
實(shí)際上,類似XcodeGhost的攻擊手段,是一種面向編譯器的攻擊,該類攻擊并非其第一次被使用。 “2009年就出現(xiàn)過一個(gè)‘delphi夢(mèng)魘’的病毒,一旦感染配置文件,程序員所編譯的所有應(yīng)用程序都會(huì)帶有病毒。還有針對(duì)CAD設(shè)計(jì)的病毒,黑客修改AUTO CAD的配置文件,致使生成的所有設(shè)計(jì)圖都帶有病毒,其他設(shè)計(jì)師一打開圖紙就中毒,還有針對(duì)網(wǎng)絡(luò)運(yùn)維工程師的。”獵豹安全專家李鐵軍在接受熊熊采訪時(shí)表示,以往這些安全事件主要出現(xiàn)在windows平臺(tái)上,iOS平臺(tái)則是第一次。
就在XcodeGhost事件還未過去,百度安全實(shí)驗(yàn)室在22日稱發(fā)現(xiàn)了Unity-4.X被感染的樣本,只是上線域名變更。盤古團(tuán)布宣布有證據(jù)證明一些游戲引擎的下載地址也被感染病毒,例如Unity 和cocos2dx, 并且這些引擎的安卓版也被感染病毒,手段和之前一樣。至此,本來安全問題就不少的安卓也卷入了這次事件。
根據(jù)公開資料介紹,Unity是由Unity Technologies開發(fā)的一個(gè)可創(chuàng)建三維視頻游戲、建筑可視化、實(shí)時(shí)三維動(dòng)畫等類型互動(dòng)內(nèi)容游戲開發(fā)工具。其編輯器運(yùn)行在Windows和Mac OS X下,可發(fā)布游戲至Windows、Mac、Wii、iPhone、Windows Phone 8和Android等平臺(tái)。以Unity為引擎開發(fā)的游戲包括《紀(jì)念碑谷》、《爐石傳說》、《神廟逃亡2》等。
Cocos是由觸控科技推出的游戲開發(fā)一站式解決方案,其中Cocos2d-x是一個(gè)開源的移動(dòng)2D游戲框架,其開發(fā)的項(xiàng)目可以很容易地建立和運(yùn)行在iOS,Android,黑莓Blackberry等操作系統(tǒng)中,還支持Windows、Mac和Linux等桌面操作系統(tǒng)。
但小G表示,“相比之下,安卓的影響會(huì)比蘋果小很多,具體的我們還在評(píng)估。”
疑問二:個(gè)人行為還是黑產(chǎn)隱現(xiàn)?在9月19日凌晨,自稱XcodeGhost作者的人在微博發(fā)聲明,稱只是個(gè)人偶然發(fā)現(xiàn)并實(shí)行的實(shí)驗(yàn)項(xiàng)目,無威脅行為,并已在“十日前”關(guān)閉服務(wù)器刪除數(shù)據(jù)。對(duì)于這樣的解釋無法讓安全界人士信服,多家安全公司的技術(shù)人員對(duì)本報(bào)記者表示,這背后會(huì)是一個(gè)及其龐大的產(chǎn)業(yè)鏈導(dǎo)致的現(xiàn)象,沒有那么簡(jiǎn)單。
有安全界人士對(duì)其行為追蹤發(fā)現(xiàn),半年前就有人開始在大量的iOS開發(fā)論壇上散步Xcode的下載鏈接,甚至還有人入侵某論壇版主的ID來修改下載鏈接,而這些鏈接全都指向了同一份網(wǎng)盤文件,如此大規(guī)模的非法擴(kuò)散的舉動(dòng),“個(gè)人做實(shí)驗(yàn)”的說法根本解釋不同。
有網(wǎng)絡(luò)工程師在微博上算了一筆賬,“要達(dá)到此次事件如此龐大的數(shù)據(jù)收集,所需服務(wù)器租用費(fèi)用起碼就每個(gè)月50萬美元,絕對(duì)不可能是‘苦逼iOS開發(fā)者個(gè)人一時(shí)興起的實(shí)驗(yàn)’。”
小G也表示,這種手法以及一系列的行為不太可能是一個(gè)做出來的,應(yīng)該是有一個(gè)團(tuán)隊(duì)在操盤,背后很可能是和黑色產(chǎn)業(yè)鏈有關(guān)。
還有安全行業(yè)相關(guān)人士透露,今年8月份的事后,一個(gè)代號(hào)為KeyRaider的惡意程序盜取了225000個(gè)Apple帳號(hào),報(bào)告中提到KeyRaider曾向icloud-analysis.com發(fā)送信息。“這有兩種可能,第一種可能是XcodeGhost和KeyRaider是同一作者,還有一種可能是KeyRaider作者在2015年2至8月間也使用了感染XcodeGhost的開發(fā)環(huán)境。”上述人士表示,從代碼分析結(jié)果表明第二種可能性較大。
這背后會(huì)是一個(gè)怎樣的黑色產(chǎn)業(yè)鏈?盡管目前還沒有太多證據(jù)指向,但據(jù)李鐵軍分析,這個(gè)黑色產(chǎn)業(yè)鏈幕后有幾種可能:第一,收集用戶行為數(shù)據(jù)做精準(zhǔn)分析,比如出售給廣告公司,用種毒的方式來實(shí)現(xiàn)廣告投放和app推廣掙錢;第二是利用iCloud發(fā)廣告信息和刷榜,這是針對(duì)沒有啟用雙重驗(yàn)證的網(wǎng)民;前兩種都算是比較有底線的利用,還有第三種是惡意的行為,比如遠(yuǎn)程鎖定用戶收集詐騙或者勒索等。
疑問三:用戶和開發(fā)者應(yīng)該怎么辦?“我的手機(jī)安全嗎?”“升級(jí)以后軟件還能用嗎?”、“我在微信、12306都綁定過信用卡,會(huì)不會(huì)被盜刷?”以前對(duì)蘋果安全信心十足的用戶現(xiàn)在也變得十分惶恐。
從目前各個(gè)安全公司的報(bào)告來看,XcodeGhost收集的數(shù)據(jù)確實(shí)不涉及太敏感和關(guān)鍵的信息,目前尚無證據(jù)證實(shí)XcodeGhost有利用收集用戶信息違法獲利的行為,也沒有收到用戶損失方面的報(bào)告。從這個(gè)方面來說,即便安裝了受影響的App,iPhone用戶也不必過于緊張。
需要注意的是,之前已經(jīng)有部分用戶信息被發(fā)到目標(biāo)服務(wù)器,盡管目前“投毒者”還沒有動(dòng)作,“真兇”也沒有抓到,所以用戶還是依然存在“潛在風(fēng)險(xiǎn)”。
安全人士建議,首先用戶應(yīng)該開啟Apple ID兩步驗(yàn)證。其次,XcodeGhost 病毒可以在未越獄的 iPhone 上偽造彈窗進(jìn)行釣魚攻擊,其生成的對(duì)話窗口仿真度非常高,很難辨別,因此用戶如果在之前輸入過iTunes密碼,那么一定要盡快進(jìn)行修改。再次,手機(jī)中安裝了受到影響的App的用戶,如果是常用的應(yīng)用,就暫停使用,等開發(fā)者發(fā)布新的版本更新后再使用;如果是不常用的應(yīng)用,可以直接卸載。最后,養(yǎng)成定期修改密碼的好習(xí)慣。
獵豹移動(dòng)表示,這件事給程序員敲響了警鐘:要安全,首先得保證自己的開發(fā)工具安全。程序員被黑客暗算的事曾經(jīng)多次發(fā)生,無論如何,建議使用正版、未被非法篡改過的開發(fā)工具編寫程序,避免用戶成為受害者;其次,編譯環(huán)境、發(fā)布環(huán)境的安全值得注意,編譯服務(wù)器和自動(dòng)發(fā)布服務(wù)器,應(yīng)保持干凈的環(huán)境,不要隨意安裝來源不明的可疑軟件。
熊熊采訪手記:一直將未越獄系統(tǒng)列為非常安全的蘋果這次也栽了,栽在源代碼病毒上。原因有很多,因?yàn)閲?guó)內(nèi)的防火墻,因?yàn)殚_發(fā)者的習(xí)慣,因?yàn)樘O果的檢測(cè)機(jī)制,因?yàn)榈鹊仍?。幸運(yùn)的是,這次事件雖然波及的廠商數(shù)量眾多,且很多用戶數(shù)量非常龐大的app諸如微信、滴滴出行、12306等都中招,但各家處理的還算迅速,僥幸逃過一次大的危機(jī)。
然而,這次事件卻留給我們一個(gè)思考,我們的智能設(shè)備越來越多,手機(jī)、手表、手環(huán)、眼睛、耳機(jī)到智能家居等等,數(shù)據(jù)越來越多,留給我們的安全問題也就更多了。比如各類設(shè)備會(huì)紀(jì)錄用戶的個(gè)人數(shù)據(jù),智能家居和智能汽車能夠掌握的信息就更多了。在一些不同的場(chǎng)合,也有一些黑客演示在幾分鐘之類攻破頂級(jí)豪車的智能鎖。在越來越智能的時(shí)代,用戶的安全將被如何安放,也成為眾多商業(yè)公司應(yīng)該思考的問題。