xCodeGhost事件仍然在持續(xù)發(fā)酵。
由于國內(nèi)部分知名軟件公司使用了第三方下載提供的修改版蘋果xCode開發(fā)工具,導(dǎo)致經(jīng)過這些版本開發(fā)并發(fā)行的iOS APP被植入后門。
xCodeGhost影響有多大?
9月19日早8點,360旗下涅槃團(tuán)隊掃描14.5萬多個APP后得到的結(jié)果顯示,有344款A(yù)PP感染了XcodeGhost木馬。其中包括百度音樂、微信、高德、 滴滴、花椒、58同城、網(wǎng)易云音樂、12306、同花順、南方航空、工行融e聯(lián)、重慶銀行等用戶量很廣的APP,涉及互聯(lián)網(wǎng)、金融、鐵路航空、游戲等眾多領(lǐng)域。
從涅槃團(tuán)隊披露的列表來看,擁有海量用戶的BAT公司旗下應(yīng)用均有中招。騰訊安全應(yīng)急響應(yīng)中心分析了76款被XCodeGhost感染的APP后認(rèn)為,保守估計受這次事件影響的用戶數(shù)超過一億。
xCodeGhost到底是不是病毒?
于9月17日注冊的微博用戶XcodeGhost-Author發(fā)文表示對xCodeGhost負(fù)責(zé)。
在其發(fā)表的微博中,XcodeGhost-Author稱,XcodeGhost源于其自己的實驗,沒有任何威脅性行為,只是一段已經(jīng)“徹底死亡的代碼”而已。作者稱,在10天前其就將APP上傳信息的服務(wù)器關(guān)閉并刪除了收集的數(shù)據(jù)。XcodeGhost-Author同時在Github上公布了XcodeGhost的源代碼,以便讓第三方機(jī)構(gòu)或個人驗證其說法的真實性。
騰訊安全應(yīng)急響應(yīng)中心從技術(shù)角度分析了xCodeGhost的行為,將XcodeGhost歸為“病毒”。根據(jù)騰訊安全應(yīng)急響應(yīng)中心的分析,受感染的iOS APP在啟動、運(yùn)行、退出時,會上報信息到黑客控制的服務(wù)器上。上報的信息包括:APP版本、APP名稱、本地語言、iOS版本、設(shè)備類型、國家碼等設(shè)備信息,能精準(zhǔn)地區(qū)分每一臺iOS設(shè)備。
騰訊安全應(yīng)急響應(yīng)中心認(rèn)為,黑客能夠通過上報的信息區(qū)分每一臺iOS設(shè)備,然后如同已經(jīng)上線的肉雞一般,隨時隨地給任何人下發(fā)指令,通過iOS openURL API,控制受感染的iPhone,完成打開網(wǎng)頁、發(fā)短信、打電話等常規(guī)手機(jī)行為。xCodeGhost具備遠(yuǎn)程控制能力和自定義彈窗能力,而遠(yuǎn)程控制模塊本身還存在漏洞,可被其它黑客利用進(jìn)行中間人攻擊。騰訊安全應(yīng)急響應(yīng)中心稱,這個事件的危害其實被大大低估了。
360旗下涅槃團(tuán)隊在9月20日凌晨發(fā)布技術(shù)分析稱,利用xCodeGhost惡意代碼,可以做應(yīng)用推廣、偽造內(nèi)購頁面、通過遠(yuǎn)程控制,可以在用戶手機(jī)上提示?相關(guān)彈窗信息等。
Android潛規(guī)則進(jìn)入iOS引發(fā)炒作
一位上市網(wǎng)絡(luò)安全公司要求匿名的安全專家對搜狐科技表示,盡管可能會存在被利用的安全漏洞,但沒有充分的證據(jù)證明XCodeGhost就是一個病毒,充其量只是算是一個木馬或后門。
這位安全專家表示,互聯(lián)網(wǎng)軟件中其實有很多軟件都有后門。如果XCodeGhost是病毒的話,估計國內(nèi)Android系統(tǒng)里跑的所有APP應(yīng)用都是病毒了。幾乎每個APP都會獲取用戶的手機(jī)串號等信息,理由是更好地做適配,為用戶提供更好的交互體驗。每個Android APP都會連網(wǎng),向開發(fā)者指定的服務(wù)器傳輸一些機(jī)器甚至個人的信息。從安裝是程序顯示的權(quán)限要求,或用特殊的安全審計工具抓包都可以發(fā)現(xiàn)這樣的問題。
據(jù)搜狐科技了解,在各類Android市場或論壇中,多年前就普遍存在APK重打包做代碼注入的事情,這種做法已經(jīng)成為行業(yè)內(nèi)的潛規(guī)則。賽門鐵克旗下諾頓就曾推出一個演示視頻,黑客或從業(yè)人員只需要幾步,就可以在一個Android APK程序注入廣告代碼并發(fā)布到網(wǎng)上供人下載。
這位安全專家表示,XCodeGhost確實有可能存在安全風(fēng)險,但業(yè)界對這個事件的反應(yīng)有點過度。由于iOS系統(tǒng)發(fā)生安全事件的情況較少,專業(yè)類漏洞難以炒作,這次XCodeGhost事件發(fā)生后,國內(nèi)安全廠商借勢營銷傾向很濃。另外,由于媒體從業(yè)人員使用蘋果的比例較高且懂安全的人較少,跟風(fēng)的成分也很大。
這位安全專家對搜狐科技稱,業(yè)界廠商老是利用一些安全事件嚇唬用戶,一有安全威脅就建議用戶改密碼,xCodeGhost事件發(fā)生后,甚至還有人讓用戶注銷信用卡來規(guī)避風(fēng)險。烏云網(wǎng)創(chuàng)始人方小頓對搜狐科技表示,最終用戶自身很難防御這個行業(yè)性事件?,F(xiàn)在來看,xCodeGhost不會影響那些APP的用戶名密碼等信息。如果擔(dān)心安全問題,用戶可以修改iCloud密碼。
xCodeGhost事件折射軟件開發(fā)流程管理不完善
RadioWar無線安全團(tuán)隊創(chuàng)始人營智敏對搜狐科技表示,正規(guī)廠商使用非官方的開發(fā)套件,引發(fā)一連串的問題,說明在軟件開發(fā)方面,大多數(shù)公司在流程管理方面存在很多不完善的地方。
營智敏表示,安全廠商在分析xCodeGhost事件時,大多數(shù)只注重技術(shù)層面的問題,而忽視了管理方面的缺陷。與其說國內(nèi)一些安全廠商反應(yīng)過大,還不如說根本就沒有反應(yīng)。如果開發(fā)團(tuán)隊都是用官方的套件,根本不會出現(xiàn)這樣的問題。
營智敏稱,不可信來源的開發(fā)套件本身在IT管理里面就是不允許的。這次事件影響到了國內(nèi)很多互聯(lián)網(wǎng)巨頭公司,其內(nèi)部IT安全管理、代碼復(fù)審等環(huán)節(jié)都出現(xiàn)了問題,說明在規(guī)范化方面這些公司還有很多需要改進(jìn)的空間。如果從國家安全的角度來講,這次事件反映出的問題,需要引起業(yè)界足夠的重視。