XcodeGhost事件回顾与分析
事件经过
此次XcodeGhost恶意代码事件波及范围广泛,对苹果公司造成了前所未有的影响[1]。国家互联网应急中心于2015年9月14日发布警告,指出部分应用因使用非官方版本的Xcode被植入恶意代码[2]。
随后,腾讯安全应急响应中心在9月19日上报相关情况,促使国家互联网应急中心发布公告[3]。9月17日,猿题库iOS开发工程师唐巧的一条微博引发了公众关注,他指出一些知名应用可能已被注入恶意代码[4]。
带病毒版本的Xcode来源于coderfun的百度网盘分享。此外,有网友发现此人长期在多个iOS开发论坛推广带有恶意代码的Xcode[5]。
受影响的应用
9月18日,微博用户@图拉鼎发布了受感染APP名单,其中包括网易云音乐、滴滴出行和12306等[6]。之后,360网络攻防实验室进一步排查并曝光了一批受影响的应用程序[7]。
9月19日早间,一位自称是XcodeGhost作者的用户在新浪微博发表致歉声明,称该项目仅为实验性质且无威胁意图,并公开了源码[8]。然而,此声明的真实性受到多方质疑[9]。
苹果公司在9月21日作出回应,表示已从App Store中移除所有受感染的应用,并正与开发者合作确保其使用正确的Xcode版本重新提交应用[10]。
Xcode及其漏洞解析
Xcode是苹果官方的开发工具,运行于Mac OS X系统上,为大多数开发者提供了创建Mac OS和iOS应用程序的方式[11]。XcodeGhost主要通过非官方渠道下载的Xcode传播,能在编译过程中注入第三方代码,上传用户数据至特定网站[12]。
许多开发者因Mac App Store难以访问,选择了国内下载工具获取Xcode,从而下载到含有XcodeGhost病毒的版本[13]。
用户风险评估
据研究显示,该恶意代码会向服务器发送用户数据,并返回控制代码以引导用户进行如跳转至钓鱼网站或安装非官方应用等操作[14]。同时,可能存在直接窃取Apple ID的变种版本[15]。
苹果审核机制失效原因
苹果的常规审核流程严格,但此次事件中的恶意代码未涉及苹果禁止使用的接口,因此与普通统计代码无异,得以绕过审核上架[16]。
业内评价
@Belleve认为这是精心策划多年的攻击,手法高明,体现了资源利用效率[17]。@yang leonier则表示这是App Store历史上规模最大的攻击之一,若未及时发现后果将极其严重[18]。
@谢弘强调,虽然iOS生态的信任感受损,但其仍是最佳移动操作系统之一,建议用户增强安全意识,定期修改密码并避免重复使用[19]。
