XcodeGhost風波,為中國大陸地區App Store中的部分iOS應用程式被稱為「XCodeGhost」的第三方惡意代碼注入,而產生了一系列的問題,包括可能的私隱泄漏、廣告點擊。
因為屬於開發者端的程式污染,所以即便是未越獄的iOS用戶從蘋果官方App Store下載應用也可能存在風險。
事件發展
Xcode為蘋果公司所發行、供程式設計師開發OS X、iOS、watchOS與tvOS應用程式的整合開發環境(IDE),在Mac App Store中免費提供。由於網絡審查導致中國大陸用戶訪問Mac App Store有連接困難,部分開發者出於方便選擇了國內第三方渠道下載(如百度網盤、迅雷離線等)或者從社交平台尋找獲得開發程式,由此帶來了安全隱患。
而這部分Xcode的框架庫中被加入了被稱為「XcodeGhost」的框架庫,導致其編譯出來的App都帶有後門代碼,會在最終客戶端執行時將私隱資訊提交給第三方。[1]
根據已經披露的文件,騰訊安全應急響應中心在跟蹤某app的bug時發現異常流量,解析後上報了中國國家互聯網應急中心(CNCERT)[1],後者隨即在2015年9月14日發佈了預警訊息[2]。之後也有其他國家的資訊保安組織跟進調查。
在2015年9月17日左右,新浪微博用戶「@唐巧_boy」發佈微博聲稱Xcode有可能被第三方代碼注入,而在社交平台上引起軒然大波。烏雲網後續發佈相關的知識庫文章[3]。
2015年9月19日凌晨4時許,新浪微博上出現一名「XcodeGhost-Author」的新用戶發佈一條微博訊息,聲稱XcodeGhost只是一個實驗性質專案;隨後GitHub上的同名計畫頁面也刊載同樣的聲明[4]。
蘋果方面雖然事前缺乏對程式的安全稽核,但是事件發生後火速對感染惡意代碼的app進行了下架[5]。
部分中國大陸地區開發商的App因此受到影響,因此對其受污染的App使用正規渠道下載的Xcode進行編譯後重新上線。
受感染應用
受到影響的app程式眾多,據稱受感染的app多達76個[6],而記載着app名單的截圖應該來自「360安全播報平台」,其將在2015年9月19日更新的訊息中將受XcodeGhost感染的app數量上調為344款[7];而截至2015年9月20日下午的通報,受感染app數量為1078款[7]。
知名度較高的部分app如:微信、網易雲音樂、滴滴打車、高德地圖、12306、同花順、中信銀行動卡空間、簡書等。涉及包括即時通訊軟件、地圖應用甚至金融服務產品。
蘋果公司對此事進行了公開聲明[8],並對於部分感染app進行了下架處理[5];從2015年9月20日開始,部分下架程式重新編譯後上架,但各廠商對此態度不同,微信的版本更新中並未說明原因,而網易雲音樂則註明為「修復XcodeGhost問題」[9]。
影響
- 事件相關
- 中國官方媒體的中央電視台報道了該事件[10],且在節目中援引專家說法,對所謂作者的無害聲明進行質疑。
- 安全網站如烏雲、騰訊安全中心,自媒體月光博客等也在該事件中作為資訊發佈平台提供支援。
- 雖然蘋果公司發佈了聲明並對感染應用做了下架處理[8],然而風險仍然存在,即如果用戶下載了受感染應用而沒有更新,惡意代碼仍然有被執行風險。蘋果對此也並沒有對所有用戶發佈推播性質的通告。
- 騰訊科技在2015年9月21日發表了署名「梁辰」的相關評論文章[11],箭頭直指蘋果的安全防禦機制,解釋相關黑色產業鏈的存在;然而最後段落中,對於開發者不恰當使用第三方渠道下載XCode工具,該文批評指「每次下Xcode花個幾十分鐘非常正常,這才造成大家都用迅雷和百度網盤這種非官方渠道」。此外,文中錯誤指稱肯·湯普遜言及『編譯Unix代碼的C編輯器里留有「後門」』,事實為Ken在其論文《Reflections on Trusting Trust》中闡述的若不校驗基於信任的信任,那麼編譯器出現問題時則會影響全域安全性[12],與本次事件有相似度。
- 安全問題外延
原因
- 因為蘋果公司的App Store等服務在中國大陸有訪問緩慢的問題。部分開發者選擇了從非正規的第三方渠道下載套件,這為惡意軟件開發者散佈惡意代碼提供可乘之機,通過在大陸地區各大蘋果開發社交網站散佈自己帶有後門框架的Xcode來誘使開發人員使用,從而埋下隱患。[11]
參見
- iOS應用程式稽核
- Xcode(蘋果開發套件)
- 防火長城(中國大陸訪問境外網站受限的阻擋)
- 殭屍網絡
- 2014年8月名人相片泄露事件(曾經發生的iCloud泄露事件)
參考資料
外部連結
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.