上周末,多家安全企業(yè)都曝光了一起名為“XcodeGhost”的安全事件,病毒制造者通過(guò)感染蘋(píng)果應(yīng)用的開(kāi)發(fā)工具Xcode,讓AppStore中的正版應(yīng)用帶上了會(huì)上傳信息的惡意程序。據(jù)估算,受到影響的用戶數(shù)量會(huì)超過(guò)一億。這一事件的爆發(fā),也打破了原本被認(rèn)為安全性很高的蘋(píng)果iOS系統(tǒng)的金身。360公司表示,目前已經(jīng)通過(guò)技術(shù)手段基本鎖定病毒制造者的身份,并且已經(jīng)報(bào)警。
事件:300多熱門(mén)App感染惡意程序
近日,多款知名社交、地圖、出行App的iPhone版被爆出有“惡意代碼”。此次的“XcodeGhost”事件之所以熱度極高,很重要的一個(gè)原因是受到影響的用戶數(shù)量極多。
事件曝光后,多家移動(dòng)安全企業(yè)都公布了各自檢測(cè)出受波及的App名單,其中360涅槃團(tuán)隊(duì)公布的受影響App數(shù)量最多。涅槃團(tuán)隊(duì)稱,通過(guò)對(duì)14.5萬(wàn)App的掃描,發(fā)現(xiàn)有344款A(yù)pp都感染了惡意程序,其中不乏微信、12306、高德地圖、滴滴打車等熱門(mén)App。據(jù)“騰訊安全應(yīng)急響應(yīng)中心”發(fā)布的報(bào)告,保守估計(jì),受這次事件影響的用戶數(shù)超過(guò)1億。這可能是蘋(píng)果AppStore上線以來(lái),涉及用戶數(shù)最多的一起安全事件。
目前,微信、高德地圖、滴滴打車、網(wǎng)易云音樂(lè)等一些知名App,都對(duì)外承認(rèn)受到了“XcodeGhost”事件影響,不過(guò)同時(shí)這些公司在聲明中也都表示,這一事件不會(huì)對(duì)用戶的信息安全造成威脅,并且已經(jīng)發(fā)布了修復(fù)惡意程序的新版本應(yīng)用,用戶自行升級(jí)就可以解決。例如,微信團(tuán)隊(duì)在公開(kāi)聲明中就表示,“該問(wèn)題僅存在iOS6.2.5版本中,最新版本微信已經(jīng)解決此問(wèn)題,用戶可升級(jí)微信自行修復(fù),此問(wèn)題不會(huì)給用戶造成直接影響。目前尚沒(méi)有發(fā)現(xiàn)用戶會(huì)因此造成信息或者財(cái)產(chǎn)的直接損失,但是微信團(tuán)隊(duì)將持續(xù)關(guān)注和監(jiān)測(cè)。”
當(dāng)然,在為數(shù)眾多的App中,公開(kāi)信息的畢竟還是少數(shù)。360安全實(shí)驗(yàn)室負(fù)責(zé)人林偉表示,有些小應(yīng)用的開(kāi)發(fā)團(tuán)隊(duì)可能還沒(méi)有及時(shí)對(duì)應(yīng)用進(jìn)行升級(jí),甚至不排除有的開(kāi)發(fā)者還不知道自己的應(yīng)用中槍了。“我們也在盡可能發(fā)現(xiàn)并且通知用戶和開(kāi)發(fā)者。”林偉表示。
木馬代碼嵌入開(kāi)發(fā)工具源頭
在安卓平臺(tái)上,各種安全問(wèn)題的爆發(fā)對(duì)于用戶來(lái)說(shuō)已經(jīng)習(xí)以為常了,而蘋(píng)果的iOS系統(tǒng)一直被認(rèn)為相當(dāng)安全,因?yàn)樘O(píng)果對(duì)于其中的App有著嚴(yán)格的安全審核機(jī)制。不過(guò)這一次,對(duì)自己手機(jī)安全沒(méi)怎么操過(guò)心的蘋(píng)果用戶也有些傻眼了,“從蘋(píng)果官方下載的App怎么也中毒了?”手機(jī)裸奔的感覺(jué),也讓很多iPhone用戶感到了惶恐。
“這已經(jīng)注定成為移動(dòng)安全史上標(biāo)示性的事件。”有移動(dòng)安全方面的人士這樣評(píng)價(jià),這可以說(shuō)是迄今為止手機(jī)行業(yè)最大的一次安全事件,過(guò)億受影響的用戶確實(shí)讓人感到不寒而栗。
另外,這種黑客直接把木馬代碼嵌入了iOS開(kāi)發(fā)工具源頭的攻擊方式在國(guó)內(nèi)尚屬首次,而一旦這扇門(mén)開(kāi)了,帶來(lái)的風(fēng)險(xiǎn)是不言而喻的,類似的攻擊方式也會(huì)引發(fā)更多黑色產(chǎn)業(yè)鏈的效仿。
據(jù)盤(pán)古越獄團(tuán)隊(duì)的創(chuàng)始人韓爭(zhēng)光介紹,實(shí)際上這種從源頭上進(jìn)行污染的黑客手段,很早之前就有人提出過(guò),UNIX之父KenThompson在一次演講中就做過(guò)類似的假設(shè),斯諾登曝光的材料里也提到過(guò)Xcode污染的案例。只不過(guò)這一次是這種情況的首次大規(guī)模傳播,與某些特別目的的手段不相同。
林偉則表示,蘋(píng)果是不允許用戶使用第三方安全軟件的,之前大家可能覺(jué)得這沒(méi)什么,但此次事件之后能看出,安全企業(yè)提供的保護(hù)方案要比手機(jī)廠商自己做的要更專業(yè)。他認(rèn)為,最理想的情況就是蘋(píng)果向第三方安全軟件開(kāi)發(fā)iOS系統(tǒng),讓不越獄的iPhone用戶也能接受到更加專業(yè)可靠的安全保護(hù)。
蘋(píng)果已經(jīng)向受影響應(yīng)用開(kāi)發(fā)者發(fā)出應(yīng)用下架通知,要求開(kāi)發(fā)者從正規(guī)渠道下載Xcode程序,重新編寫(xiě)應(yīng)用程序再上傳。
進(jìn)展:病毒制造者身份已被鎖定
就在事件爆發(fā)后,自稱是“XcodeGhost”始作俑者的新浪微博用戶@@XcodeGhost-Author在網(wǎng)上發(fā)了一封道歉信。他稱,XcodeGhost源于他自己進(jìn)行的一項(xiàng)實(shí)驗(yàn),獲取的全部數(shù)據(jù)實(shí)際為基本的App信息:應(yīng)用名、應(yīng)用版本號(hào)、系統(tǒng)版本號(hào)、語(yǔ)言、國(guó)家名、開(kāi)發(fā)者符號(hào)、App安裝時(shí)間、設(shè)備名稱、設(shè)備類型,除此之外,沒(méi)有獲取任何其他數(shù)據(jù)。他也承認(rèn),出于私心,在代碼加入了廣告功能,希望將來(lái)可以推廣自己的應(yīng)用,但從開(kāi)始到最終關(guān)閉服務(wù)器,并未使用過(guò)廣告功能。而在10天前,他已主動(dòng)關(guān)閉服務(wù)器,并刪除所有數(shù)據(jù),更不會(huì)對(duì)任何人有任何影響。“XcodeGhost不會(huì)影響任何App的使用,更不會(huì)獲取隱私數(shù)據(jù),僅僅是一段已經(jīng)死亡的代碼。”這個(gè)給無(wú)數(shù)人帶來(lái)大麻煩的人這樣說(shuō)道。
不過(guò),這種輕描淡寫(xiě)遭到了很多安全行業(yè)從業(yè)者的質(zhì)疑。林偉就表示,360團(tuán)隊(duì)對(duì)其行為的追蹤發(fā)現(xiàn),在半年之前,就有人開(kāi)始在大量的iOS開(kāi)發(fā)論壇上散布Xcode的下載鏈接,甚至還有人入侵了某論壇版主的ID來(lái)修改下載鏈接,而這些下載鏈接全部指向了同一份網(wǎng)盤(pán)文件,如此大規(guī)模的舉動(dòng),做實(shí)驗(yàn)的說(shuō)法根本解釋不通。也有網(wǎng)絡(luò)工程師在微博上算了一筆賬,這種對(duì)用戶信息的收集,僅僅是使用海外服務(wù)器的成本每月就要四五十萬(wàn)美元。“這僅僅是個(gè)苦×開(kāi)發(fā)者的個(gè)人實(shí)驗(yàn)?”
韓爭(zhēng)光也認(rèn)為,進(jìn)行這種黑客行為對(duì)制造者的技術(shù)水平要求很高,絕非一般人能夠所為,而且從其一系列行為來(lái)看,不大可能是一個(gè)人做出來(lái)的,應(yīng)該是有一個(gè)團(tuán)隊(duì)在操盤(pán),背后很可能是和黑產(chǎn)產(chǎn)業(yè)鏈有關(guān)系。
360公司對(duì)記者表示,目前已經(jīng)通過(guò)技術(shù)手段基本鎖定了病毒制造者的身份,并且已經(jīng)報(bào)警,正在配合警方進(jìn)行調(diào)查。不過(guò)360相關(guān)人士表示,在警方結(jié)案前還不能公布關(guān)于病毒制造者身份的更多細(xì)節(jié)。從記者在多個(gè)渠道獲得的信息來(lái)看,病毒制造者并非一個(gè)人,其中一名主要成員曾是國(guó)內(nèi)某名校的保送研究生,不過(guò)已經(jīng)退學(xué)。
建議:用戶應(yīng)定期修改密碼
不管黑客是怎么得手的,對(duì)于普通用戶來(lái)說(shuō),最重要也是最關(guān)心的事只有一個(gè),那就是自己的手機(jī)究竟安不安全?“微信、滴滴打車、12306,這些應(yīng)用我都裝了,還做過(guò)支付,會(huì)不會(huì)有風(fēng)險(xiǎn)?綁定的信用卡會(huì)不會(huì)被盜刷?”很多用戶急切想知道答案。
從上述“病毒開(kāi)發(fā)者”回應(yīng)來(lái)看,“XcodeGhost”收集的數(shù)據(jù)確實(shí)不涉及太敏感和關(guān)鍵的信息,目前尚無(wú)證據(jù)證實(shí)“XcodeGhost”有利用收集用戶信息違法獲利的行為,也沒(méi)有收到用戶損失方面的報(bào)告。從這個(gè)方面來(lái)說(shuō),即便安裝了受影響的App,iPhone用戶也不必過(guò)于緊張。
不過(guò),韓爭(zhēng)光認(rèn)為,雖然現(xiàn)在看不到這個(gè)惡意程序造成了什么損失,但這個(gè)惡意程序是可以帶來(lái)很多更嚴(yán)重威脅的。就像一個(gè)高明的竊賊撬開(kāi)了嚴(yán)密的防盜門(mén),進(jìn)到一個(gè)人家,這一次只是留下了幾張“小廣告”就走了,但是他將來(lái)是有能力進(jìn)到家中把財(cái)物席卷一空的,“也有可能家中失竊了,但是房主還沒(méi)有發(fā)現(xiàn)。”
韓爭(zhēng)光建議,手機(jī)中安裝了受到影響的App的用戶,如果是常用的應(yīng)用,就暫停使用,等開(kāi)發(fā)者發(fā)布新的版本更新后再使用;如果是不常用的應(yīng)用,可以直接卸載。他同時(shí)還建議,雖然目前沒(méi)有看到造成損失的案例,但確實(shí)存在泄露個(gè)人關(guān)鍵信息的風(fēng)險(xiǎn),還是建議用戶修改一下手機(jī)中的重要密碼。無(wú)論有沒(méi)有安全事件,定期修改密碼都是一個(gè)良好的習(xí)慣。
開(kāi)發(fā)者應(yīng)確保開(kāi)發(fā)環(huán)境安全
這一次的“XcodeGhost”事件和以往的安全事件很大的不同在于用戶其實(shí)開(kāi)始是無(wú)從防范的,蘋(píng)果應(yīng)用的開(kāi)發(fā)者成為了病毒傳播鏈條上很關(guān)鍵的一環(huán)。雖然病毒制造者污染了Xcode工具,但如果開(kāi)發(fā)者都從正規(guī)渠道下載這一工具,也不會(huì)造成現(xiàn)在的局面。
有iOS開(kāi)發(fā)者表示,從其他渠道下載Xcode而不是從蘋(píng)果官方渠道下載,其實(shí)是業(yè)內(nèi)很普遍的行為,因?yàn)楣俜较螺d渠道速度太慢,很多程序員為了節(jié)省時(shí)間往往直接使用國(guó)內(nèi)的下載工具下載,這就給了“XcodeGhost”病毒可乘之機(jī)。
獵豹移動(dòng)表示,這件事給程序員敲響了警鐘:要安全,首先得保證自己的開(kāi)發(fā)工具安全。程序員被黑客暗算的事曾經(jīng)多次發(fā)生,無(wú)論如何,建議使用正版、未被非法篡改過(guò)的開(kāi)發(fā)工具編寫(xiě)程序,避免用戶成為受害者;其次,編譯環(huán)境、發(fā)布環(huán)境的安全值得注意,編譯服務(wù)器和自動(dòng)發(fā)布服務(wù)器,應(yīng)保持干凈的環(huán)境,不要隨意安裝來(lái)源不明的可疑軟件。
安全行業(yè)業(yè)內(nèi)人士表示,這一次的事件給蘋(píng)果在安全機(jī)制上敲響了警鐘,讓蘋(píng)果注意到自身安全機(jī)制存在的漏洞,相信蘋(píng)果會(huì)修補(bǔ)這次安全事件造成的影響,在安全審查上變得更加嚴(yán)格。