最近,不少蘋(píng)果手機(jī)用戶(hù)都開(kāi)始忙著刪除自己手機(jī)內(nèi)的“中毒”應(yīng)用,iOS系統(tǒng)變得不再安全的現(xiàn)實(shí),引起了很多人的恐慌。而在整個(gè)事件中,iOS開(kāi)發(fā)者從非蘋(píng)果官方渠道下載的xcode 開(kāi)發(fā)器是導(dǎo)致大范圍App“中毒”的重要原因,真正需要恐慌的是,國(guó)內(nèi)iOS開(kāi)發(fā)者在安全操作規(guī)范上存在的“漏洞”。
事件回放
數(shù)億蘋(píng)果大面積中毒iOS首次遭遇安全危機(jī)
9月17日,國(guó)外安全公司 Paloalto發(fā)布了第一版關(guān)于XcodeGhost的分析報(bào)告,隨后阿里移動(dòng)安全在國(guó)內(nèi)緊跟著發(fā)布了相關(guān)報(bào)告,由此引發(fā)一場(chǎng)國(guó)內(nèi)安全圈的“大地震”。據(jù)不完全統(tǒng)計(jì),中國(guó)區(qū)App Store 商店中有接近百款常用軟件,包括微信、滴滴打車(chē)、12306、網(wǎng)易云音樂(lè)、高德地圖、中國(guó)聯(lián)通手機(jī)營(yíng)業(yè)廳等覆蓋率極高的應(yīng)用軟件被發(fā)現(xiàn)已注入這一惡意程序。至少對(duì)數(shù)億名 iOS 用戶(hù)的個(gè)人信息造成了威脅。
整個(gè)事件的起因是,由惡意開(kāi)發(fā)者制作的帶有“后門(mén)”的 Xcode(由蘋(píng)果發(fā)布的iOS 和OS X開(kāi)發(fā)器),并將其上傳到網(wǎng)絡(luò),iOS 開(kāi)發(fā)者通過(guò)非蘋(píng)果官方渠道下載了這些變異的 Xcode,進(jìn)行軟件開(kāi)發(fā),并上架到App Store。用戶(hù)將這些帶有惡意代碼的應(yīng)用同時(shí)下載到自己手機(jī)中,最終導(dǎo)致了大范圍傳播。
這種惡意軟件程序目前被定名為XcodeGhost,其可怕之處在于無(wú)論蘋(píng)果手機(jī)是否越獄,所有可運(yùn)行iOS軟件的 iPhone、iPad 和 iPod touch 都可感染。根據(jù)騰訊安全應(yīng)急中心的分析報(bào)告,受感染的App在啟動(dòng)、后臺(tái)、恢復(fù)、結(jié)束時(shí),這一惡意程序都將上報(bào)信息至黑客控制的服務(wù)器,上報(bào)的信息包括:版本、名稱(chēng)、本地語(yǔ)言、iOS版本、設(shè)備類(lèi)型、國(guó)家碼等設(shè)備信息。不僅僅如此,在后臺(tái),黑客能夠通過(guò)上報(bào)的信息區(qū)分每一臺(tái)iOS設(shè)備,使其變成“肉雞”(被黑客遠(yuǎn)程控制的電腦、手機(jī)等),黑客可隨時(shí)隨地下發(fā)偽協(xié)議指令,不僅能在受感染的iPhone中完成打開(kāi)網(wǎng)頁(yè)、發(fā)短信、打電話(huà)等常規(guī)手機(jī)行為,甚至還可以操作具備偽協(xié)議能力的大量第三方App.
黑客水平很高
應(yīng)該與黑色產(chǎn)業(yè)鏈有關(guān)
事件爆發(fā)后,自稱(chēng)是“XcodeGhost”始作俑者的新浪微博用戶(hù)@XcodeGhost-Author發(fā)布了一封道歉信,稱(chēng)XcodeGhost源于他自己進(jìn)行的一項(xiàng)實(shí)驗(yàn),獲取的全部數(shù)據(jù)實(shí)際為基本的App信息:應(yīng)用名、應(yīng)用版本號(hào)、系統(tǒng)版本號(hào)、語(yǔ)言、國(guó)家名、開(kāi)發(fā)者符號(hào)、App安裝時(shí)間、設(shè)備名稱(chēng)、設(shè)備類(lèi)型,除此之外,沒(méi)有獲取任何其他數(shù)據(jù)。他承認(rèn),出于私心,其在代碼中加入了廣告功能,希望將來(lái)可以推廣自己的應(yīng)用,但從開(kāi)始到最終關(guān)閉服務(wù)器,并未使用過(guò)廣告功能。而在10天前,他已主動(dòng)關(guān)閉服務(wù)器,并刪除所有數(shù)據(jù),更不會(huì)對(duì)任何人有任何影響。“XcodeGhost不會(huì)影響任何App的使用,更不會(huì)獲取隱私數(shù)據(jù),僅僅是一段已經(jīng)死亡的代碼。”
但在安全界人士看來(lái),進(jìn)行這種黑客行為對(duì)制造者的技術(shù)水平要求很高,絕非一般人能夠所為,應(yīng)該是有一個(gè)團(tuán)隊(duì)在操盤(pán),很可能是和黑色產(chǎn)業(yè)鏈有關(guān)系。安全界人士韓爭(zhēng)光認(rèn)為,“這種黑客直接把木馬代碼嵌入了iOS開(kāi)發(fā)工具源頭的攻擊方式在國(guó)內(nèi)尚屬首次,而一旦這扇門(mén)開(kāi)了,帶來(lái)的風(fēng)險(xiǎn)是不言而喻的。”
App開(kāi)發(fā)環(huán)境中毒了
除了黑客的惡意攻擊,iOS開(kāi)發(fā)者在整個(gè)事件中同樣難辭其咎。在多個(gè)國(guó)內(nèi)安全實(shí)驗(yàn)室給出的報(bào)告中都指出,XcodeGhost事件的罪魁禍?zhǔn)拙褪情_(kāi)發(fā)人員從非官方下載的Xcode,正是在這些變異的Xcode中找出了在官方版本中不存在的“系統(tǒng)組件”。
為什么國(guó)內(nèi)開(kāi)發(fā)者會(huì)棄官方版本不用而選用普遍意義上的“盜版”?在網(wǎng)絡(luò)上大部分開(kāi)發(fā)者給出的解釋是,官方版本下載速度過(guò)慢,因此他們更愿意使用第三方下載渠道的Xcode。因?yàn)閺淖罱K的操作環(huán)境看,兩者之間幾乎沒(méi)有差異。
對(duì)此,《IT時(shí)報(bào)》記者采訪(fǎng)了數(shù)位iOS開(kāi)發(fā)者后卻得出了不同的結(jié)論,“開(kāi)發(fā)者說(shuō)太慢可能是在找借口,”在一位來(lái)自廣州的iOS開(kāi)發(fā)者看來(lái),與iPhone用戶(hù)進(jìn)入App Store的情形相同,下載Xcode偶爾的卡頓在所難免,“開(kāi)發(fā)者進(jìn)入Xcode有時(shí)候會(huì)很慢,尤其在網(wǎng)速很慢的情況下,下載或許會(huì)用到一兩個(gè)小時(shí),但快的時(shí)候也就十幾分鐘。”
另一方面,企業(yè)對(duì)下載源的控制也幾乎是空白,導(dǎo)致在大環(huán)境上無(wú)從把控。一位素來(lái)習(xí)慣使用官方軟件的iOS開(kāi)發(fā)者告訴《IT時(shí)報(bào)》記者,他此前應(yīng)聘過(guò)一家IT公司,公司電腦上已經(jīng)安裝了Xcode開(kāi)發(fā)環(huán)境,盡管是非官方,但他覺(jué)得自己沒(méi)必要再重裝開(kāi)發(fā)環(huán)境,“設(shè)想一下如此循環(huán),所有出自這家公司的軟件都有可能染上惡意病毒。”
開(kāi)發(fā)者安全意識(shí)淡薄引擔(dān)憂(yōu)
到目前為止,國(guó)內(nèi)沒(méi)有任何一家企業(yè)IT安全管理對(duì)開(kāi)發(fā)者的下載環(huán)境及程序進(jìn)行明文要求,其中包括微信、網(wǎng)易云音樂(lè)這樣的大型開(kāi)發(fā)團(tuán)隊(duì)。但事實(shí)上,這并非無(wú)蹤跡可尋,在國(guó)內(nèi),盜版?zhèn)€人軟件早已成為木馬植入的重災(zāi)區(qū),作為開(kāi)發(fā)者不會(huì)全然沒(méi)有意識(shí),“非官方下載的軟件廣告非常多,這點(diǎn)在第三方下載的Xcode中也存在同樣的情況。”
讓人更為恐懼的是,類(lèi)似植入開(kāi)發(fā)源的惡意程序,開(kāi)發(fā)者若“失守”,蘋(píng)果官方也將很難審查,因?yàn)椴《疚募氐锰盍恕?/div>
事件發(fā)生后,不同平臺(tái)迅速修補(bǔ)了漏洞,并更新了新版本。但在國(guó)內(nèi)開(kāi)發(fā)者中,依然并不認(rèn)為事件很?chē)?yán)重,“沒(méi)什么影響啊,這個(gè)問(wèn)題現(xiàn)在又沒(méi)有造成什么危害。”一個(gè)小型團(tuán)隊(duì)的開(kāi)發(fā)者說(shuō)道。未來(lái),至少大公司應(yīng)該對(duì)開(kāi)發(fā)工具的下載源進(jìn)行嚴(yán)格控制了。
