网易云音乐、12306 等多款国内大厂 App 被植入恶意代码事件始末

今天下午，平静如死海的微博上突然躁动了起来，据 @乌云知识库微博称：有网友发现第三方渠道下载的 Xcode 被插入恶意代码，编译的软件全成了小型木马。少数派汇总了目前网络的一些情况，帮助大家快速了解这个事情的前前后后。

为什么会出现这样的情况

简单来说，一些国内开发者从百度或者迅雷等第三方平台而非官方渠道（Mac App Store）下载了被植入恶意代码的 XcodeGhost，从而导致了这个事故的发生。

编注：Xcode 是运行在操作系统 Mac OS X 上的集成开发工具（IDE），由苹果公司开发，是开发 OS X 和 iOS 应用程序的最快捷的方式。

都有哪些 App 中招了

独立 iOS 开发者、奇点微博客户端作者 @图拉鼎在该事情发生伊始就进行了测试，包括但不限于以下的一些应用都在影响的范围之内，实时更新：

1. 微信（已更新）
2. 网易云音乐（已更新）
3. 网易公开课
4. 12306
5. 滴滴出行（已更新）
6. 中国联通的手机营业厅
7. 高德地图（已更新）
8. 简书
9. 开眼
10. 下厨房（已更新）
11. 51卡保险箱
12. 同花顺
13. 中信银行动卡空间

而其中 11、12、13 是三款金融产品，如果再晚一点发现这个漏洞，后果将不堪设想。

▲@图拉鼎微博截图

到底有什么影响

按照乌云和 Palo Alto Networks 公司的分析，泄露的信息包括当前时间、被感染的应用名称、应用程序包标识、设备名称和类型、系统语言和国家、设备 UUID、网络类型等。

此外，据 Clover 四叶新媒体联合创始人 @Saic 称：该木马劫持了所有系统的弹窗（例如 IAP 支付），然后向目标服务器发送了加密数据，目前还不知怎么解密发出去的请求。

▲@图拉鼎微博截图

而另有乌云网上一个评论指出，该恶意代码除了会收集 App 使用信息外还可能会在 App 里以弹窗的形式骗取用户的 iCloud 或其他密码。遇到这种弹窗，大家一定要小心，如果 App 里突然出现标准弹窗时，切记：选「不」！

▲@图拉鼎微博截图

我们应该怎么做

虽说恶意服务器已经停止收集信息，但为了减少进一步损失，在官方更新 App 前，大家还是先暂停使用中招 App 或寻找替代品吧。
由于该恶意代码可能还会以弹窗的形式骗取用户密码，所以遇到这种弹窗时，大家一定要多加留意！
当然，最稳妥的措施还是前往 appleid.apple.com 修改自己 Apple ID 密码并启用两步验证。（关联教程：如何开启 iCloud 两步验证）

实时进展...

事故发生后，网络上不少开发者都对代码可能的用途进行了分析和猜测，同时不断有中招的 App 发布官方声明（截至目前，网易云音乐、简书、恶意代码植入者都发布了官方声明），也有一些受感染 App 提交了新版，下面按照时间顺序将进展汇总如下：

18 日 15:43 ——网易云音乐声明

事发当日也就是 18 日下午 15:43，网易云音乐官方微博发布了一则简单高冷的的声明如下，这是众多大厂 App 中首个发布声明的应用。但在这之后，官方微博又淡定的推了两条活动微博，丝毫没有给大家一种「我们很重视这个问题的」的感觉，难道网易的有态度也感染病毒了么？这样下去，以后他们再打着有态度的旗号说什么大家都不会信了吧。

18 日 18:10——简书声明

简书于 9 月 18 日 18:10 在其官方微博发布了声明，但非常简单，使用的是简书的默认分享模板，一句话加一个链接，链接到简书中的声明稍微详细一些，微博和声明内容如下：

18 日 19:17——XcodeGhost 实际用途猜测分析 @Saic

Clover 四叶新媒体联合创始人 @Saic 在事情发生后，根据已有的代码进行了分析和猜测，得出木马的逻辑应该是下面这样的。

在用户安装了目标应用后，木马会向服务器发送用户数据。

服务器根据需要返回模拟弹窗。

弹窗可以是提示支付失败，请到目标地址付款，也可以是某个软件的企业安装包。

用户被诱导安装未经审核的安装包后，程序可以调用系统的私有 API，实现进一步的攻击目的。

木马中还有一些调用应用内购的攻击逻辑，就不展开说明了。

全文见：XcodeGhost 实际用途猜测分析