最近，不少蘋果手機用戶都開始忙著刪除自己手機內的“中毒”應用，iOS系統變得不再安全的現實，引起了很多人的恐慌。而在整個事件中，iOS開發者從非蘋果官方渠道下載的xcode 開發器是導致大范圍App“中毒”的重要原因，真正需要恐慌的是，國內iOS開發者在安全操作規范上存在的“漏洞”。

 

　　事件回放

 

 

　　數億蘋果大面積中毒iOS首次遭遇安全危機

 

　　9月17日，國外安全公司 Paloalto發布了第一版關于XcodeGhost的分析報告，隨后阿里移動安全在國內緊跟著發布了相關報告，由此引發一場國內安全圈的“大地震”。據不完全統計，中國區App Store 商店中有接近百款常用軟件，包括微信、滴滴打車、12306、網易云音樂、高德地圖、中國聯通手機營業廳等覆蓋率極高的應用軟件被發現已注入這一惡意程序。至少對數億名 iOS 用戶的個人信息造成了威脅。

 

　　整個事件的起因是，由惡意開發者制作的帶有“后門”的 Xcode(由蘋果發布的iOS 和OS X開發器)，并將其上傳到網絡，iOS 開發者通過非蘋果官方渠道下載了這些變異的 Xcode，進行軟件開發，并上架到App Store。用戶將這些帶有惡意代碼的應用同時下載到自己手機中，最終導致了大范圍傳播。

 

　　這種惡意軟件程序目前被定名為XcodeGhost，其可怕之處在于無論蘋果手機是否越獄，所有可運行iOS軟件的 iPhone、iPad 和 iPod touch 都可感染。根據騰訊安全應急中心的分析報告，受感染的App在啟動、后臺、恢復、結束時，這一惡意程序都將上報信息至黑客控制的服務器，上報的信息包括：版本、名稱、本地語言、iOS版本、設備類型、國家碼等設備信息。不僅僅如此，在后臺，黑客能夠通過上報的信息區分每一臺iOS設備，使其變成“肉雞”(被黑客遠程控制的電腦、手機等)，黑客可隨時隨地下發偽協議指令，不僅能在受感染的iPhone中完成打開網頁、發短信、打電話等常規手機行為，甚至還可以操作具備偽協議能力的大量第三方App.

 

　　黑客水平很高

 

　　應該與黑色產業鏈有關

 

　　事件爆發后，自稱是“XcodeGhost”始作俑者的新浪微博用戶@XcodeGhost-Author發布了一封道歉信，稱XcodeGhost源于他自己進行的一項實驗，獲取的全部數據實際為基本的App信息：應用名、應用版本號、系統版本號、語言、國家名、開發者符號、App安裝時間、設備名稱、設備類型，除此之外，沒有獲取任何其他數據。他承認，出于私心，其在代碼中加入了廣告功能，希望將來可以推廣自己的應用，但從開始到最終關閉服務器，并未使用過廣告功能。而在10天前，他已主動關閉服務器，并刪除所有數據，更不會對任何人有任何影響。“XcodeGhost不會影響任何App的使用，更不會獲取隱私數據，僅僅是一段已經死亡的代碼。”

 

　　但在安全界人士看來，進行這種黑客行為對制造者的技術水平要求很高，絕非一般人能夠所為，應該是有一個團隊在操盤，很可能是和黑色產業鏈有關系。安全界人士韓爭光認為，“這種黑客直接把木馬代碼嵌入了iOS開發工具源頭的攻擊方式在國內尚屬首次，而一旦這扇門開了，帶來的風險是不言而喻的。”

 

　　App開發環境中毒了

 

　　除了黑客的惡意攻擊，iOS開發者在整個事件中同樣難辭其咎。在多個國內安全實驗室給出的報告中都指出，XcodeGhost事件的罪魁禍首就是開發人員從非官方下載的Xcode，正是在這些變異的Xcode中找出了在官方版本中不存在的“系統組件”。

 

　　為什么國內開發者會棄官方版本不用而選用普遍意義上的“盜版”？在網絡上大部分開發者給出的解釋是，官方版本下載速度過慢，因此他們更愿意使用第三方下載渠道的Xcode。因為從最終的操作環境看，兩者之間幾乎沒有差異。

 

　　對此，《IT時報》記者采訪了數位iOS開發者后卻得出了不同的結論，“開發者說太慢可能是在找借口，”在一位來自廣州的iOS開發者看來，與iPhone用戶進入App Store的情形相同，下載Xcode偶爾的卡頓在所難免，“開發者進入Xcode有時候會很慢，尤其在網速很慢的情況下，下載或許會用到一兩個小時，但快的時候也就十幾分鐘。”

 

　　另一方面，企業對下載源的控制也幾乎是空白，導致在大環境上無從把控。一位素來習慣使用官方軟件的iOS開發者告訴《IT時報》記者，他此前應聘過一家IT公司，公司電腦上已經安裝了Xcode開發環境，盡管是非官方，但他覺得自己沒必要再重裝開發環境，“設想一下如此循環，所有出自這家公司的軟件都有可能染上惡意病毒。”

 

　　開發者安全意識淡薄引擔憂

 

　　到目前為止，國內沒有任何一家企業IT安全管理對開發者的下載環境及程序進行明文要求，其中包括微信、網易云音樂這樣的大型開發團隊。但事實上，這并非無蹤跡可尋，在國內，盜版個人軟件早已成為木馬植入的重災區，作為開發者不會全然沒有意識，“非官方下載的軟件廣告非常多，這點在第三方下載的Xcode中也存在同樣的情況。”

 

　　讓人更為恐懼的是，類似植入開發源的惡意程序，開發者若“失守”，蘋果官方也將很難審查，因為病毒文件藏得太深了。

 

　　事件發生后，不同平臺迅速修補了漏洞，并更新了新版本。但在國內開發者中，依然并不認為事件很嚴重，“沒什么影響啊，這個問題現在又沒有造成什么危害。”一個小型團隊的開發者說道。未來，至少大公司應該對開發工具的下載源進行嚴格控制了。