Remove ads

XcodeGhost風波,為中國大陸地區App Store中的部分iOS應用程式被稱為「XCodeGhost」的第三方惡意代碼注入,而產生了一系列的問題,包括可能的私隱泄漏、廣告點擊。

因為屬於開發者端的程式污染,所以即便是未越獄的iOS用戶從蘋果官方App Store下載應用也可能存在風險。

事件發展

XcodeGhost植入

Xcode為蘋果公司所發行、供程式設計師開發OS XiOSwatchOStvOS應用程式的整合開發環境(IDE),在Mac App Store中免費提供。由於網絡審查導致中國大陸用戶訪問Mac App Store有連接困難,部分開發者出於方便選擇了國內第三方渠道下載(如百度網盤迅雷離線等)或者從社交平台尋找獲得開發程式,由此帶來了安全隱患。

而這部分Xcode的框架庫中被加入了被稱為「XcodeGhost」的框架庫,導致其編譯出來的App都帶有後門代碼,會在最終客戶端執行時將私隱資訊提交給第三方。[1]

爆發

根據已經披露的文件,騰訊安全應急響應中心在跟蹤某app的bug時發現異常流量,解析後上報了中國國家互聯網應急中心(CNCERT)[1],後者隨即在2015年9月14日發佈了預警訊息[2]。之後也有其他國家的資訊保安組織跟進調查。

在2015年9月17日左右,新浪微博用戶「@唐巧_boy」發佈微博聲稱Xcode有可能被第三方代碼注入,而在社交平台上引起軒然大波。烏雲網後續發佈相關的知識庫文章[3]

當事人陳述

2015年9月19日凌晨4時許,新浪微博上出現一名「XcodeGhost-Author」的新用戶發佈一條微博訊息,聲稱XcodeGhost只是一個實驗性質專案;隨後GitHub上的同名計畫頁面也刊載同樣的聲明[4]

應急處理

蘋果方面雖然事前缺乏對程式的安全稽核,但是事件發生後火速對感染惡意代碼的app進行了下架[5]

部分中國大陸地區開發商的App因此受到影響,因此對其受污染的App使用正規渠道下載的Xcode進行編譯後重新上線。

受感染應用

受到影響的app程式眾多,據稱受感染的app多達76個[6],而記載着app名單的截圖應該來自「360安全播報平台」,其將在2015年9月19日更新的訊息中將受XcodeGhost感染的app數量上調為344款[7];而截至2015年9月20日下午的通報,受感染app數量為1078款[7]

知名度較高的部分app如:微信網易雲音樂滴滴打車高德地圖12306同花順中信銀行動卡空間、簡書等。涉及包括即時通訊軟件、地圖應用甚至金融服務產品。

蘋果公司對此事進行了公開聲明[8],並對於部分感染app進行了下架處理[5];從2015年9月20日開始,部分下架程式重新編譯後上架,但各廠商對此態度不同,微信的版本更新中並未說明原因,而網易雲音樂則註明為「修復XcodeGhost問題」[9]

影響

事件相關
  • 中國官方媒體的中央電視台報道了該事件[10],且在節目中援引專家說法,對所謂作者的無害聲明進行質疑。
  • 安全網站如烏雲、騰訊安全中心,自媒體月光博客等也在該事件中作為資訊發佈平台提供支援。
  • 雖然蘋果公司發佈了聲明並對感染應用做了下架處理[8],然而風險仍然存在,即如果用戶下載了受感染應用而沒有更新,惡意代碼仍然有被執行風險。蘋果對此也並沒有對所有用戶發佈推播性質的通告。
  • 騰訊科技在2015年9月21日發表了署名「梁辰」的相關評論文章[11],箭頭直指蘋果的安全防禦機制,解釋相關黑色產業鏈的存在;然而最後段落中,對於開發者不恰當使用第三方渠道下載XCode工具,該文批評指「每次下Xcode花個幾十分鐘非常正常,這才造成大家都用迅雷和百度網盤這種非官方渠道」。此外,文中錯誤指稱肯·湯普遜言及『編譯Unix代碼的C編輯器里留有「後門」』,事實為Ken在其論文《Reflections on Trusting Trust》中闡述的若不校驗基於信任的信任,那麼編譯器出現問題時則會影響全域安全性[12],與本次事件有相似度。
安全問題外延
  • 有人在尋找相應的發佈源時發現其也有發佈帶有後門框架的知名遊戲開發框架Unity第三方發佈源,懷疑Unity也有類似的影響。[13]而Unity的開發商則發佈聲明自查官方版本沒問題並要求開發者從官方途徑下載開發程式。[14]
  • 在2015年9月22日,雖然XcodeGhost作者聲明已關閉伺服器,然而有安全從業人員表示仍然有安全隱患,潛在攻擊者可以通過域名解析污染等手段偽裝獲得敏感數據,這類手法被命名為截胡攻擊(「截胡」為麻將術語)[15]
Remove ads

原因

  • 因為蘋果公司的App Store等服務在中國大陸有訪問緩慢的問題。部分開發者選擇了從非正規的第三方渠道下載套件,這為惡意軟件開發者散佈惡意代碼提供可乘之機,通過在大陸地區各大蘋果開發社交網站散佈自己帶有後門框架的Xcode來誘使開發人員使用,從而埋下隱患。[11]
  • XcodeGhost作者聲稱這是一個實驗性專案[16],然而騰訊安全團隊、RAyH4c等均對此說法表示質疑,指其在事前的針對性SEO及該惡意軟件感染的規模等方面,均遠超出其所聲稱的個人能力[17]
  • 根據斯諾登(Edward Snowden)揭露檔案,美國中情局(CIA)在2012年已有相關能力,即透過偽冒Xcode,用來監控所有使用該偽冒開發工具所開發的App及後續的修改版本,而這套偽冒開發工具所開發的App,可以在蘋果公司的官方App Store上架並販售,且不會被任何人員發覺有異常之處。[18]

參見

參考資料

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.

Remove ads