艾瑞克的 Hexo 空間

[轉貼] 蘋果 iOS 的 Xcode Ghost 事件

本文發表於814天之前,文章內容可能已經過時,如有疑問,請聯繫作者。

1.因為中國網路長城的關係,造成很多中國使用者,習慣在「中國區網」內下載東西,沒有什麼警覺性。

2.希望真的只是場實驗,因為我也中招了….(名片全能王)

 

原文連結:http://3c.ltn.com.tw/news/20584?page=1

iOS App 病毒爆發! 原來只是場「實驗」?

文/記者譚偉晟/ 2015-09-21 12:51

一個中國 iOS 的開發者,透過 Apple 的漏洞植入了名為「Xcode Ghost」的代碼,進一步透過 App 竊取用戶資料,糟糕的是已經有部份 App Store 上的 App 已經被感染,目前 Apple 已經開始清理這些被影響的 App,而這件事情的開始,卻僅僅只是開發者的「實驗」!

iOS App 爆發病毒感染,原因是出在 Xcode 這個開發者工具(圖片來源/路透社)

對此大家不妨先弄清楚這整件事情的來龍去脈。以下分別從感染方式、事件始末、以及其他後續這三個部份說起,如果 iOS 用戶擔心已經安裝到被感染的 App,可以參考這篇文章(iOS App 大爆漏洞!一次中招 344 款 App!),來查看清單並確認手機中的 App 是否有問題。

其中不乏之名的 App 受到感染(圖片來源/彭博)

要搞清楚這個 iOS 爆發的重大病毒災情,首先得從「Xcode」這個項目說起。Xcode 是由 Apple 推出的開發工具,運行在 Mac OS X 上,是目前 Apple 開發者製作 Mac OS 和 iOS 應用程式的主要方式。而這次爆出的 iOS App 感染病毒事件,是由於一個名為「Xcode Ghost」的代碼。

透過這個代碼,受感染的 App 可以上傳各種加密的數據到指定的伺服器,目前已知會上傳的內容包含 App 版本、App 名稱、使用語言、iOS 版本、設備類型等語裝置有關的訊息。在這裡得先提一下,事件發生後該代碼作者出來澄清,表示這次感染的目的只是為了「實驗」,而非為了竊取用戶的個人資 料。

然而,這場「實驗」確實暴露了 iOS 所存在的嚴重安全問題。假使今天有駭客惡意使用了這項漏洞,將會使用戶的手機被控制,嚴格來說甚至能夠控制整支手機!而這個病毒的感染模式是這樣的:

  1. 含有 Xcode Ghost 惡意代碼的 Xcode 工具,放在開發者社群供人下載,由於沒有上架到 App Store,所以無法被 Apple 查驗。
  2. 其他開發者依照這個工具設計 App,並且發布到 App Store 供一般用戶下載。
  3. 開發者或一般用戶安裝後,Xcode Ghost 開始運作。竊取手機中的資料上傳指定伺服器。
    目前 Xcode Ghost 號稱只有做到傳送設備資訊等與個資無關的訊息,但據了解一旦該漏洞是被有心人使用,就可以透過 openURL 這個 API,遠端遙控被感染的 iPhone 中打電話、開啟網頁、甚至操作第三方 App!也可以在遠端遙控手機,讓手機彈出對話窗口,誘騙用戶回答「密碼多少」這類敏感問題!


事件是從 9 月 12 日開始的,最初是由一名稱做「@唐巧_boy」的人在微博張貼了一個訊息,告訴大家在非官方管道下載的 App,被植入的第三方代碼,會向特定網站上傳資料。

一名用戶在微博上表示,在 App 內發現惡意代碼,接著病毒感染事件逐漸擴大(圖片來源/wooyun)

接著就有更多用戶進行檢查也發現,許多由迅雷下載的檔案,當中也有許多內藏這個代碼,對此「烏雲漏洞平台」將這個病毒樣本命名為「XcodeGhost」,並且發現他會收集大量 iPhone 和 App 的基本訊息。

而事件逐漸擴大,多款知名 App 也被爆出受到感染,像是微信、我叫MT、網易雲音樂、滴滴出行等中國 App 佔絕大多數。其中有多款已經在 App Store 上,可讓一般用戶直接下載、進一步安裝用戶裝置!接著包含 Palalto、阿里移動安全等資安公司都發布了分析報導。

在 9 月 19 日凌晨,這個名為 Xcode Ghost 的病毒設計者現身,發出公告表示這一切只是一個意外的發現,而所謂的「病毒」只是自己的小小實驗。此外在公告中也已經澄清這個代碼將會死去,之後也被人發現上傳資料的網站已經關閉。

該病毒作者公開表示,這僅僅只是一場「實驗」而已,沒有惡意(圖片來源/wooyun)

而在 9 月 21 日,Apple 正式做出回應,強調目前有問題的 App 已經被刪除。該公司正在對 App Store 進行清理,移除有問題的 App。手機用戶也建議盡速移除有問題的 App,並且修改 iCloud 密碼。Apple 也將持續與開發者溝通,確保開發者使用正確的 Xcode 工具開發應用程式。

Xcode 病毒事件爆發後,各國開發者對可以繞過 Apple 官方工具,逕行開發 App 的開發者很不滿(圖片來源/Apple)

會造成 iOS 裝置被病毒大量感染,最根本的原因其實是因為中國網路長城的關係。由於網路長城的管控,中國地區開發者如果透過 Apple 官方網址下載 Xcode 工具,會因為網路太慢而耗費大量時間,因此多半會改用迅雷網盤、百度網盤上其他開發者分享的檔案。

因此開發者會誤用帶有病毒的開發工具,所設計出來的 App 自然也被感染。這對於一直主打安全性的 Apple 無疑是個重擊,更令人憂心的是連 App store 的 App 的無法確保安全,將會讓用戶對其裝置的信任感大幅降低。

不少開發者表示,對於這類會傷害用戶信任的開發者,Apple 應該全面剔除,否則將會為危害到 App store 的信譽。而選擇要擁抱中國市場的 Apple ,也必須調整對中國開發者的策略,否則這個會影響全球 iOS 裝置的病毒事件,或許會成為其他國家開發者抵制 Apple 的理由。

avatar
[筆記] 用plink 建立 ssh tunnel 連ptt 避免版面亂掉的解法

  1. 1. 1.因為中國網路長城的關係,造成很多中國使用者,習慣在「中國區網」內下載東西,沒有什麼警覺性。
  2. 2. 2.希望真的只是場實驗,因為我也中招了….(名片全能王)
  • 原文連結:http://3c.ltn.com.tw/news/20584?page=1
  • iOS App 病毒爆發! 原來只是場「實驗」?