今天下午,平静如死海的微博上突然躁动了起来,据 @乌云知识库 微博称:有网友发现第三方渠道下载的 Xcode 被插入恶意代码,编译的软件全成了小型木马。少数派汇总了目前网络的一些情况,帮助大家快速了解这个事情的前前后后。
为什么会出现这样的情况
简单来说,一些国内开发者从百度或者迅雷等第三方平台而非官方渠道(Mac App Store)下载了被植入恶意代码的 XcodeGhost,从而导致了这个事故的发生。
编注:Xcode 是运行在操作系统 Mac OS X 上的集成开发工具(IDE),由苹果公司开发,是开发 OS X 和 iOS 应用程序的最快捷的方式。
都有哪些 App 中招了
独立 iOS 开发者、奇点微博客户端作者 @图拉鼎 在该事情发生伊始就进行了测试,包括但不限于以下的一些应用都在影响的范围之内,实时更新:
- 1. 微信(已更新)
- 2. 网易云音乐(已更新)
- 3. 网易公开课
- 4. 12306
- 5. 滴滴出行(已更新)
- 6. 中国联通的手机营业厅
- 7. 高德地图(已更新)
- 8. 简书
- 9. 开眼
- 10. 下厨房(已更新)
- 11. 51卡保险箱
- 12. 同花顺
- 13. 中信银行动卡空间
而其中 11、12、13 是三款金融产品,如果再晚一点发现这个漏洞,后果将不堪设想。
▲@图拉鼎 微博截图
到底有什么影响
按照乌云和 Palo Alto Networks 公司的分析,泄露的信息包括当前时间、被感染的应用名称、应用程序包标识、设备名称和类型、系统语言和国家、设备 UUID、网络类型等。
此外,据 Clover 四叶新媒体联合创始人 @Saic 称:该木马劫持了所有系统的弹窗(例如 IAP 支付),然后向目标服务器发送了加密数据,目前还不知怎么解密发出去的请求。
▲@图拉鼎 微博截图
而另有乌云网上一个评论指出,该恶意代码除了会收集 App 使用信息外还可能会在 App 里以弹窗的形式骗取用户的 iCloud 或其他密码。遇到这种弹窗,大家一定要小心,如果 App 里突然出现标准弹窗时,切记:选「不」!
▲@图拉鼎 微博截图
我们应该怎么做
- 虽说恶意服务器已经停止收集信息,但为了减少进一步损失,在官方更新 App 前,大家还是先暂停使用中招 App 或寻找替代品吧。
- 由于该恶意代码可能还会以弹窗的形式骗取用户密码,所以遇到这种弹窗时,大家一定要多加留意!
- 当然,最稳妥的措施还是前往 appleid.apple.com 修改自己 Apple ID 密码并启用两步验证。(关联教程:如何开启 iCloud 两步验证)
实时进展...
事故发生后,网络上不少开发者都对代码可能的用途进行了分析和猜测,同时不断有中招的 App 发布官方声明(截至目前,网易云音乐、简书、恶意代码植入者都发布了官方声明),也有一些受感染 App 提交了新版,下面按照时间顺序将进展汇总如下:
18 日 15:43 ——网易云音乐声明
事发当日也就是 18 日下午 15:43,网易云音乐官方微博发布了一则简单高冷的的声明如下,这是众多大厂 App 中首个发布声明的应用。但在这之后,官方微博又淡定的推了两条活动微博,丝毫没有给大家一种「我们很重视这个问题的」的感觉,难道网易的有态度也感染病毒了么?这样下去,以后他们再打着有态度的旗号说什么大家都不会信了吧。
18 日 18:10——简书声明
简书于 9 月 18 日 18:10 在其官方微博发布了声明,但非常简单,使用的是简书的默认分享模板,一句话加一个链接,链接到简书中的声明稍微详细一些,微博和声明内容如下:
18 日 19:17——XcodeGhost 实际用途猜测分析 @Saic
Clover 四叶新媒体联合创始人 @Saic 在事情发生后,根据已有的代码进行了分析和猜测,得出木马的逻辑应该是下面这样的。
在用户安装了目标应用后,木马会向服务器发送用户数据。
服务器根据需要返回模拟弹窗。
弹窗可以是提示支付失败,请到目标地址付款,也可以是某个软件的企业安装包。
用户被诱导安装未经审核的安装包后,程序可以调用系统的私有 API,实现进一步的攻击目的。
木马中还有一些调用应用内购的攻击逻辑,就不展开说明了。
18 日 21:43——微信官方声明
18 日 21:43 分,@腾讯微信团队 在微博发布了官方声明,全文如下。各位 iOS 用户请尽快检查自己的微信版本号,如为 6.2.5,请尽快升级到最新版。
19 日 04:40——恶意代码植入者 @XcodeGhost-Author
19 日凌晨 04:40,XcodeGhost 原作者以 @XcodeGhost-Author 的身份出现在微博上,发布一则关于所谓"XcodeGhost"的澄清,全文如下。从原作者的声明来看,这段代码仅会获取 App 的基本信息,不会获取用户隐私。当然,这种声明... 大家也就看看就好了。
19 日上午——苹果开始下架受感染应用
今天上午,苹果开始下架受感染的应用,官方邮件如下,苹果在邮件中指出,希望开发者从官方渠道下载 Xcode,重新编译 App 并重新提交审核。
via @小小小小_灿
受感染 App 更新情况...
目前,中招的 App 中,微信、高德地图、下厨房、网易云音乐和滴滴出行(原滴滴打车)已更新,但需要注意的是,仅有下厨房和网易云音乐在更新日志中进行了说明。
【更新】少数派邀请到国内知名应用开发商四叶新媒体联合创始人 @Saic,为我们重新梳理一遍整个事件,并以最通俗易懂的文字科普本次事件,前往阅读:
少数派将会在微博 @少数派 sspai 和本文持续关注与更新事态的进展。