AD
苹果公司首次确认有黑客对APP Store发起大规模攻击。
美国当地时间9月20日,苹果公司首次确认其官方开发工具软件Xcode遭到黑客攻击和修改,致使用其开发的很多应用程序被感染。苹果表示,已从应用商店删除了这些被植入恶意代码的应用。
近日,苹果应用商店被曝有部分应用程序感染了恶意代码,病毒制造者通过感染苹果应用的开发工具Xcode,让APP Store中的正版应用带上了会上传信息的恶意程序。被植入恶意代码的iOS系统应用程序包括微信、滴滴出行、铁路12306、同花顺(300033,股吧)等。
这款感染Xcode开发工具的病毒就是XcodeGhost。荷兰安全公司Fox-IT发现有56款iOS系统应用程序受到感染。据媒体报道,截至9月21日中午,检测到受感染的APP版本已超过3700个。
信息安全企业帕洛阿尔托网络公司的研究人员说,此次事件影响到数以亿计的用户。
事件爆发后,一位自称是“XcodeGhost”始作俑者的新浪微博用户@XcodeGhost-Author在网上发了一封道歉信。自称XcodeGhost源于他自己进行的一项实验,获取的全部数据实际为基本的APP信息,除此之外没有获取任何其他数据。
360公司表示,目前已经通过技术手段基本锁定了病毒制造者的身份,并且已经报警,正在配合警方进行调查。不过在警方结案前还不能公布关于病毒制造者身份的更多细节。
APP Store受攻击:
多款热门APP受影响
用户数或超1亿
苹果官方APP Store遭受攻击源于9月18日中国漏洞报告平台乌云网公布的一则分析报告:Xcode编译器里有鬼。
据报告,有些程序员使用了非苹果官方、第三方渠道下载Xcode编译器,这些编译器编写的APP存在安全问题,当这些APP上传至APP Store并被用户下载安装后,它们会偷偷上传软件包名、应用名、系统版本、语言、国家等基本信息,还会在手机上弹出钓鱼网站页面,可能骗取iCloud账号密码,或者其他关键信息。
由苹果公司开发Xcode主要供开发者编写、调试苹果公司的桌面操作系统OSX和移动操作系统iOS所用的应用程序。
根据猎豹的监测,受影响的APP包括微信、网易云音乐、网易公开课、我叫MT、同花顺、南京银行(601009,股吧)、南方航空(600029,股吧)、中信银行(601998,股吧)行动卡空间、名片全能王、愤怒的小鸟2等用户比较熟知的应用。另据安全公司360上周末的监测,受影响的APP超过344款,APP包括12306、滴滴出行、高德地图、同花顺等应用。
据“腾讯安全应急响应中心”发布的报告,保守估计,受这次事件影响的用户数超过1亿。这可能是苹果APP Store上线以来,涉及用户数最多的一起安全事件。
据《纽约时报》报道,苹果21日称正在与开发者沟通并确认他们是否使用了正常的Xcode。
调研人员称,被植入恶意代码的应用一旦被下载,恶意代码就能够打开某个特定网站对设备进行感染,并下载更多病毒。另外,这些软件还能打开一些看似安全的弹出窗口,向用户索要更多信息(如密码和苹果账户等)。
不过帕洛阿尔托网络称,由于事件的时间节点较为接近,可能只有使用非官方Xcode编写最新版本的应用受到安全威胁。
感染原因:
官网下载Xcode缓慢
开发者转向第三方渠道
Xcode编译器是一款开发工具,是苹果系统应用开发者的一款必要软件。苹果为应用开发者提供了官方版本,但在互联网上还存在着各类非官方版本Xcode软件。
“由于中国开发者上苹果官网下载Xcode十分缓慢,一些开发者就通过第三方渠道进行了下载。”猎豹移动安全分析师李铁军告诉早报记者。
14日,国家互联网应急中心(CNCERT)发布《关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报》。该通报称,CNCERT监测发现,开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在APP Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。目前,CNCERT正在加强分析,并将此预警信息通报相关开发者或互联网企业,在开发苹果APP过程中,切勿使用非苹果官方渠道的Xcode工具,以维护广大用户的个人信息安全。
此前,苹果公司的iOS系统向来以“封闭而安全”著称,它没有安卓五花八门的应用市场,下载软件只能通过官方的APP Store进行。越狱(或者破解)之后的苹果设备则可以绕开苹果构筑的这层防线,允许用户下载非APP Store中的应用,免费下载一些原本收费的APP,但同时也带来巨大的安全隐患,因为这些APP可以轻而易举地获取更高的操作权限,从而控制手机。
“以往人们普遍认为,只要不越狱,只从官方应用市场下载软件,iPhone/iPad就是安全的。现在,这个神话破灭了。开发工具中做手脚,可能骗过那些聪明的程序员,在编译自己的应用时,把有害代码加进去,威胁用户数据安全。甚至这种攻击方式绕过了APP Store的安全审核机制,使得官方商店的防护也不如以往那样可信。”李铁军表示。
根据信息安全公司Palo Alto Networks的数据,在此次攻击发生之前,APP Store总共只发现过5款恶意应用。Palo Alto Networks高管雷恩·奥尔森表示,此事件的性质相当严重,因为它表明如果黑客攻击了应用开发者编写合法应用的设备,那么苹果应用商店的安全性将大打折扣。
这一次的“XcodeGhost”事件和以往的安全事件很大的不同在于用户其实开始是无从防范的,苹果应用的开发者成为了病毒传播链条上很关键的一环。虽然病毒制造者污染了Xcode工具,但如果开发者都从正规渠道下载这一工具,也不会造成现在的局面。
涉事APP回应:
部分应用已更新版本
不排除有开发者仍不知情
目前,微信、高德地图、滴滴打车、网易云音乐等一些知名APP,都对外承认受到了“XcodeGhost”事件影响,不过同时这些公司在声明中也都表示,这一事件不会对用户的信息安全造成威胁,并且已经发布了修复恶意程序的新版本应用,用户自行升级就可以解决。
微信团队在公开声明中就表示,“该问题仅存在于iOS6.2.5版本中,最新版本微信已经解决此问题,用户可升级微信自行修复,此问题不会给用户造成直接影响。目前尚没有发现用户会因此造成信息或者财产的直接损失,但是微信团队将持续关注和监测。”
网易公司、滴滴快的公司也相继确认问题APP,并表示目前更新的最新版本是安全的。
股票分析软件同花顺则表示:“由于同花顺新版手机APP iOS版正交由APP Store审核,为了满足用户需求,目前我们已经紧急制作了一个企业版安装包。”
当然,在为数众多的APP中,公开信息的毕竟还是少数。360安全实验室负责人林伟表示,有些小应用的开发团队可能还没有及时对应用进行升级,甚至不排除有的开发者还不知道自己的应用中枪了。“我们也在尽可能发现并且通知用户和开发者。”林伟表示。
苹果官方回应:
已删除受感染应用
并将确保使用正版软件
美国当地时间9月20日,美国苹果证实其官方开发工具软件Xcode遭到黑客攻击和修改,致使用其开发的很多应用程序也被感染。苹果还表示,已从应用商店删除了这些被植入恶意代码的应用。
美国《纽约时报》援引苹果公司发言人的话说,某个“不可信任的来源”发布了伪造的开发者软件。“为了保护用户,我们已从应用商店删除了据我们所知用这一假冒软件编写的应用”。
苹果公司还表示,它正与开发人员合作,确保他们使用正版的Xcode软件编写应用。
信息安全企业帕洛阿尔托网络公司的研究人员说,一个新的恶意代码通过修改Xcode软件,感染了iOS系统所用的应用程序。他们发现已有39款应用受到感染,其中有些应用在中国及其他国家和地区非常流行,影响到数以亿计的用户。
这是首次发生植入恶意代码的大量应用程序进入苹果应用商店的案例。研究人员说,恶意代码在iOS应用中的主要行为是收集苹果设备中的信息数据,并上传到服务器。帕洛阿尔托网络公司、苹果公司和相关应用开发商及中国研究人员正在评估其带来的损失。
病毒制造者:
身份已被锁定
做实验说法解释不通
9月19日4时,一位自称是“XcodeGhost”始作俑者的新浪微博用户@XcodeGhost-Author在网上发了一封道歉信。他称,XcodeGhost源于他自己进行的一项实验,获取的全部数据实际为基本的APP信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、APP安装时间、设备名称、设备类型,除此之外,没有获取任何其他数据。
他也承认,出于私心,在代码加入了广告功能,希望将来可以推广自己的应用,而在10天前,他已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。“XcodeGhost不会影响任何APP的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。”这个给无数人带来大麻烦的人这样说道。
不过,这封道歉信遭到了很多安全行业从业者的质疑。360团队对其行为的追踪发现,在半年之前,就有人开始在大量的iOS开发论坛上散布Xcode的下载链接,甚至还有人入侵了某论坛版主的ID来修改下载链接,而这些下载链接全部指向了同一份网盘文件,如此大规模的举动,做实验的说法根本解释不通。也有网络工程师在微博上算了一笔账,这种对用户信息的收集,仅仅是使用海外服务器的成本每月就要四五十万美元。
专业人士认为,进行这种黑客行为对制造者的技术水平要求很高,绝非一般人能够所为,而且从其一系列行为来看,不大可能是一个人做出来的,应该是有一个团队在操盘,背后很可能是和黑色产业链有关系。
360公司对记者表示,目前已经通过技术手段基本锁定了病毒制造者的身份,并且已经报警,正在配合警方进行调查。不过360相关人士表示,在警方结案前还不能公布关于病毒制造者身份的更多细节。从记者在多个渠道获得的信息来看,病毒制造者并非一个人,其中一名主要成员曾是国内某名校的保送研究生,不过已经退学。
