这个周末,如果你关心手机安全,一定会被XcodeGhost事件吓出一身的冷汗。最大的问题是,iOS居然被攻陷了,并且截止到发稿时间,海外媒体及苹果官方还未做出回应,显然这个周末让他们可能还无暇正面顾及,这可是比较重大的移动智能系统安全事件。XcodeGhost事件的疑似作者为了让大家过一个好周末,倒是贴出了声明。
这次病毒的感染图集是开发人员从非苹果官方渠道下载Xcode开发环境,然后在开发人员不知情的情况下,相关的代码都被植入了恶意的CoreServices.framework。在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器。上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。从病毒样本的分析看,这些泄露信息其实并不涉及太多的隐私问题。
随后,盘古团队表示,已经检测到超过800个不同版本的应用感染了XcodeGhost病毒(目前最全),更多的应用仍在检测中。但并没有提到危害性,大家也很担心这些信息会否被他人利用。
今日凌晨,据称是作者的发布了源码,并且表示所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现:修改Xcode编译配置文本可以加载指定的代码文件,于是其写下上述附件中的代码去尝试,并上传到自己的网盘中。
作者表示,在10天前,已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。愿谣言止于真相,所谓的”XcodeGhost”,以前是一次错误的实验,以后只是彻底死亡的代码而已。需要强调的是,XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。
但腾讯的安全团队认为,可能还会存在第三方的危险。黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。另外,他们还发现这个恶意模块的网络协议加密存问题,可以被轻易暴力破解。我们尝试了中间人攻击,验证确实可以代替服务器下发伪协议指令到手机,成为这些肉鸡的新主人。
实际上,这次事件对于各大网络公司的开发人员敲响了警钟。对于信任他们的用户来说,无法在下载的过程中去分辨APP是否包含了危险代码,必须开发者从源头予以保证,包括代码来源的安全干净及使用正版苹果系统。iOS设备也不要尝试越狱,这等于是给黑客开启了安全大门。
而对于苹果来说,安全策略可能会再提升一个级别,相关的安全审查也必须加强。反观国内,超级大的互联网平台公司,也要加强对于SDK、API接入等的正规化引导,否则也会存在被钓鱼的可能。
希望这次的XcodeGhost事件仅仅只是一场闹剧,用户不要从中受到伤害,为了安全起见,请修改相关应用及服务的密码,并且将APP升级到最新版本。移动智能安全之路,还是任重而道远。
