今天,微博和头条纷纷被Xcode感染刷屏,大意是包括微信和网易云音乐在内的一大堆APP纷纷被植入了恶意代码,该恶意代码会自动搜集信息并发送至服务器。然而由于术语太多,有些小伙伴表示看不懂。那么我来做个简单的科普,告诉大家究竟发生了什么。
废话少说,改用问答形式吧。
1、什么是Xcode?
Xcode是苹果公司推出的集成开发工具,运行在Mac OS X上,用于开发OS X 和 iOS 应用程序。
通俗点说,Xcode是程序员干活的工具,就好比厨师的菜刀,也是他们的好基友,他们用它开发APP。
2、Xcode事件起因
国内多个厂商的App使用了第三方途径下载的Xcode(非Apple正规途径),其编译后应用会自动发送信息至第三方服务器。此次事件被称为XcodeGhost病毒事件或者Xcode木马事件。
据360NiranTeam(涅槃)团队分析,受影响的App包括:
微信 -6.2.5
滴滴出行 - 4.0.0
滴滴打车 - 3.9.7
联通手机营业厅 - 3.2
高德地图 - 7.3.8.2037
铁路12306 - 2.1
同花顺 - 9.26.03
同花顺- 9.26.01
自由之战 - 1.0.9
我叫MT - 4.6.2
我叫MT 2 - 1.8.5
电话归属地助手 - 3.6.3
夫妻床头话 - 2.0.1
穷游 - 6.4.1
网易云音乐 - 2.8.3
简书 - 2.9.1
网易公开课 - 4.2.8
下厨房 - 4.3.2
51卡保险箱 - 5.0.1
开眼 - 1.8.0
3、被感染的APP泄漏了那些信息?
具体信息包括:时间、应用名字、应用标识ID、设备名字与类型、系统区域及语言、设备唯一标识UUID、网络类型。
表面上看,这些信息并不十分致命,并且在该事件曝光后,接受信息的服务器也已经关闭。因此网易云音乐发布公告称“不存在威胁用户个人信息安全”。
然而,四叶新媒体联合创始人,微博用户@Saic 表示:
拿文件看了一下,这个木马劫持了所有系统的弹窗(例如 IAP 支付),然后向目标服务器发送了加密数据,目前还不知怎么解密发出去的请求。
PS:IAP支付即 In-App Purchase,也就常说的内购。
也就是说,当你在手游里面买钻石的时候,就有加密数据被发送到了病毒作者的服务器,由于还没解密,因此暂不清楚发送了什么数据。
然而,最可怕的是这种方法。理论上,这种方法可以利用到的程度绝对不止窃取信息而已。
4、只影响越狱用户?
不!不!不!(重要的事情说三遍),不管是否越狱,只要安装了受感染APP仍会受到影响。
并且,无论你是通过Apple Store下载安装还是通过其他手机助手安装,都无法避免。因为厂商发布的版本已经被感染了。
还是那句话:厨子的刀已经带菌了,并不在乎你点什么菜。
5、普通用户能做什么
除了祈祷,好像也做不了什么。。。。
一般来说,这种大规模的信息泄露之后,第一反应是修改iCloud密码,其次,请尽量启用两步验证。
具体方法参见:http://jingyan.baidu.com/article/84b4f565cb4bfa60f6da32e3.html
两步验证是一种更加有利于账号安全性的服务,开启该服务后,你在管理自己的 Apple 账号或进行修改密码时都需要进行此项验证,它会给你设置的手机发送验证码,相当于一个动态口令。
6、谁的锅?
这个问题比较复杂。
首先,由于感染途径是开发者们使用了第三方途径下载的Xcode编译工具,就好比酒店的大厨从冒牌张小泉那儿购买了带菌的宝刀。因此,需要质问的下一个问题是,程序员们为什么要从第三方途径下载Xcode?
7、程序员们为什么要从第三方途径下载Xcode?
答案很复杂,这是一个很有心机的故事。
由于Xcode套件本身免费,因此并不存在破解版一说。相反,由于通过苹果官方直接连接速度可能较慢(只是“可能”,实际上以大公司的网络性能,一般下载速度是很快的),所以很多程序员通过某些技术论坛寻求其他速度较快的下载渠道。这其中就包括网盘和迅雷。
据腾讯安全应急响应中心撰文称:
通过百度搜索“xcode”出来的页面,除了指向苹果AppStore的那几个链接,其余的都是背后黑手通过各种id在各种开发社区、人气社区、下载站发的帖,然后最终全部链接到了不同id的百度云盘上。为了验证,团队小伙伴们下载了近20个各版本的xcode安装包,发现居然无一例外的都是被感染版本。
此外,还有很多程序员将官方下载地址复制进入了迅雷,迅雷为提高下载速度,会从很多第三方下载源下载软件,从而导致感染。
因此,这是一起【不在官方旗舰店买菜刀盲目信任代购】所导致的安全事故。
在这里不得不提一句:下载文件一定要谨慎。一定要确保自己下载的文件是“干净”的文件。至于方法,请看下一个问题。
扫一扫
2797
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
