最近這幾天“XCodeGhost”事件鬧得人心惶惶,如果你對“XCodeGhost”事件本身的來龍去脈不夠了解,推薦閱讀騰訊安全應(yīng)急響應(yīng)中 心的文章《你以為這就是全部了?我們來告訴你完整的XCodeGhost事件》而本文的重點是想澄清在“XCodeGhost”事件中,有關(guān)迅雷的種種“說法”。
說法1:“還是不能相信迅雷,我是把官網(wǎng)上的下載URL復(fù)制到迅雷里下載的,還是中招了”
這 句話是烏云網(wǎng)原文《XCode編譯器里有鬼 – XCodeGhost樣本分析》(鏈接:http://drops.wooyun.org/news/8864)當(dāng)中,文章作者引用微博中“誰敢亂說話” 的留言。這是整個事件中唯一聲稱“使用迅雷下載官網(wǎng)鏈接也會中招”的反饋。
我 們在看到這條反饋時,第一時間安排迅雷安全中心工程師對XCode6.4的官方鏈接進(jìn)行下載測試,并對迅雷索引服務(wù)器上的記錄進(jìn)行了交叉檢查。發(fā)現(xiàn)迅雷從 未將官方鏈接的XCode6.4下錯為染毒的版本。而且染毒的XCode6.4文件比官方版本大了6.97MB,因此文件特征值不存在重復(fù)的可能。
在迅雷安全中心工程師完成測試及檢查后,我們看到“誰敢亂說話”博主已經(jīng)主動發(fā)布澄清《我澄清一下,復(fù)制官方的URL到迅雷里下載沒有問題,我記錯了》(鏈接:http://weibo.com/1686747232/CBf2aegc3?from=page_1005051686747232_profile&wvr=6&mod=weibotime&type=comment)。雖然他先前的留言造成對迅雷的誤解,但是我們依然感謝他能主動澄清這件事。
說法2:“成功感染了迅雷的離線服務(wù)器,也就是說,你常用下載軟件是迅雷的話,輸入官網(wǎng)的地址下載下來的 dmg 仍然有可能是被修改過的。”
這 個說法是在“說法1”的基礎(chǔ)上,經(jīng)過轉(zhuǎn)載及揣測被加工成了“迅雷離線服務(wù)器被感染”,但現(xiàn)在“說法1”已經(jīng)被澄清,而且迅雷早在“XCodeGhost” 事件被曝光時,立即全面檢查了離線服務(wù)器中所有蘋果官方鏈接的Xcode文件,SHA1值均與蘋果官方版本保持一致。因此迅雷離線服務(wù)器沒有被感染。
說法3:這次XcodeGhost木馬病毒的泛濫有可能和迅雷有關(guān),迅雷最初下載的Xcode就是被修改的程序,因此iOS開發(fā)者即使用官方地址然后在迅雷上下載,也會下載到帶有木馬病毒的Xcode。
該 說法同樣為“說法1”的變種。根據(jù)我們查詢離線下載的任務(wù)記錄,染毒的XCode6.4版本 (SHA1:a836d8fa0fce198e061b7b38b826178b44c053a8)。最早被迅雷會員用戶添加到離線下載中時,并非來自蘋 果官方,而是來自某網(wǎng)盤的URL。
同時我們列出了染毒的XCode6.4版本的所有下載來源,共有52條記錄,無一來自蘋果官方網(wǎng)站。也就是說,染毒的XCode泛濫并非由迅雷導(dǎo)致,某網(wǎng)盤是染毒XCode的主要下載源。
與此同時迅雷已將染毒的XCode文件屏蔽下載。
說法4:迅雷下載難道只判斷文件名,不會檢測哈希值之類的嗎?
迅 雷并不通過文件名或文件大小來判斷文件是否一致。迅雷下載會在下載開始時檢測文件的哈希值(特征值),下載過程中會與原始地址及鏡像進(jìn)行實時比對校驗,發(fā) 現(xiàn)錯誤數(shù)據(jù)就會在下載過程中立即糾錯,所以才會出現(xiàn)所謂的“下載進(jìn)度倒退”現(xiàn)象。文件下載完成后會再次進(jìn)行完整的文件校驗。
說法5:我遇到過某軟件官網(wǎng)鏈接用迅雷下載到了這軟件的上一個版本
這 種情況確實在部分用戶的環(huán)境中發(fā)生過,經(jīng)過我們聯(lián)系用戶進(jìn)行調(diào)查,結(jié)果發(fā)現(xiàn)是用戶使用的網(wǎng)絡(luò)運營商為了降低自身網(wǎng)絡(luò)出口的流量成本。會自己架設(shè)CDN服務(wù) 器來緩存比較熱門的文件。當(dāng)某軟件發(fā)布新版本更新了安裝文件,而下載地址未變時,該運營商的CDN服務(wù)器沒有及時的更新文件。仍將用戶的訪問請求指向了緩 存的老文件,此時用戶使用迅雷進(jìn)行下載,就會下載到上一個版本。這種情況并不常見,而且迅雷已經(jīng)進(jìn)行了優(yōu)化。
說法6:如果我把染毒的文件放在自己架的一個服務(wù)器上,并修改本機DNS將官方下載鏈接的下載請求指向我自己架的服務(wù)器,再用迅雷下載這個帶毒的文件,迅雷就會把這個染毒的文件分享給別人了。
這 種假設(shè)是行不通的,雖然這么做能讓迅雷把染毒的文件下載到你本機。但是我們前面介紹過,迅雷在下載完成后會進(jìn)行完整的文件校驗,如果你下載的文件是染毒 的,文件校驗得出的特征值就會截然不同。因此迅雷的索引服務(wù)器就不會將染毒的文件跟正常的文件關(guān)聯(lián)在一起。自然別的迅雷用戶就不會從你本機獲取這個染毒的 文件。