數(shù)億蘋(píng)果用戶中毒：一場(chǎng)本可以避免的悲劇

    章蔚瑋

    最近，不少蘋(píng)果手機(jī)用戶都開(kāi)始忙著刪除自己手機(jī)內(nèi)的“中毒”應(yīng)用，iOS系統(tǒng)變得不再安全的現(xiàn)實(shí)，引起了很多人的恐慌。而在整個(gè)事件中，iOS開(kāi)發(fā)者從非蘋(píng)果官方渠道下載的xcode 開(kāi)發(fā)器是導(dǎo)致大范圍App“中毒”的重要原因，真正需要恐慌的是，國(guó)內(nèi)iOS開(kāi)發(fā)者在安全操作規(guī)范上存在的“漏洞”。

    事件回放

    數(shù)億蘋(píng)果大面積中毒iOS首次遭遇安全危機(jī)

    9月17日，國(guó)外安全公司 Paloalto發(fā)布了第一版關(guān)于XcodeGhost的分析報(bào)告，隨后阿里移動(dòng)安全在國(guó)內(nèi)緊跟著發(fā)布了相關(guān)報(bào)告，由此引發(fā)一場(chǎng)國(guó)內(nèi)安全圈的“大地震”。據(jù)不完全統(tǒng)計(jì)，中國(guó)區(qū)App Store 商店中有接近百款常用軟件，包括微信、滴滴打車(chē)、12306、高德地圖、中國(guó)聯(lián)通手機(jī)營(yíng)業(yè)廳等覆蓋率極高的應(yīng)用軟件被發(fā)現(xiàn)已注入這一惡意程序。至少對(duì)數(shù)億名 iOS 用戶的個(gè)人信息造成了威脅。

    整個(gè)事件的起因是，由惡意開(kāi)發(fā)者制作的帶有“后門(mén)”的 Xcode（由蘋(píng)果發(fā)布的iOS 和OS X開(kāi)發(fā)器），并將其上傳到網(wǎng)絡(luò)，iOS 開(kāi)發(fā)者通過(guò)非蘋(píng)果官方渠道下載了這些變異的 Xcode，進(jìn)行軟件開(kāi)發(fā)，并上架到App Store。用戶將這些帶有惡意代碼的應(yīng)用同時(shí)下載到自己手機(jī)中，最終導(dǎo)致了大范圍傳播。

    這種惡意軟件程序目前被定名為XcodeGhost，其可怕之處在于無(wú)論蘋(píng)果手機(jī)是否越獄，所有可運(yùn)行iOS軟件的 iPhone、iPad 和 iPod touch 都可感染。根據(jù)騰訊安全應(yīng)急中心的分析報(bào)告，受感染的App在啟動(dòng)、后臺(tái)、恢復(fù)、結(jié)束時(shí)，這一惡意程序都將上報(bào)信息至黑客控制的服務(wù)器，上報(bào)的信息包括：版本、名稱(chēng)、本地語(yǔ)言、iOS版本、設(shè)備類(lèi)型、國(guó)家碼等設(shè)備信息。不僅僅如此，在后臺(tái)，黑客能夠通過(guò)上報(bào)的信息區(qū)分每一臺(tái)iOS設(shè)備，使其變成“肉雞”（被黑客遠(yuǎn)程控制的電腦、手機(jī)等），黑客可隨時(shí)隨地下發(fā)偽協(xié)議指令，不僅能在受感染的iPhone中完成打開(kāi)網(wǎng)頁(yè)、發(fā)短信、打電話等常規(guī)手機(jī)行為，甚至還可以操作具備偽協(xié)議能力的大量第三方App。

    黑客水平很高

    應(yīng)該與黑色產(chǎn)業(yè)鏈有關(guān)

    事件爆發(fā)后，自稱(chēng)是“XcodeGhost”始作俑者的新浪微博用戶@XcodeGhost-Author發(fā)布了一封道歉信，稱(chēng)XcodeGhost源于他自己進(jìn)行的一項(xiàng)實(shí)驗(yàn)，獲取的全部數(shù)據(jù)實(shí)際為基本的App信息：應(yīng)用名、應(yīng)用版本號(hào)、系統(tǒng)版本號(hào)、語(yǔ)言、國(guó)家名、開(kāi)發(fā)者符號(hào)、App安裝時(shí)間、設(shè)備名稱(chēng)、設(shè)備類(lèi)型，除此之外，沒(méi)有獲取任何其他數(shù)據(jù)。他承認(rèn)，出于私心，其在代碼中加入了廣告功能，希望將來(lái)可以推廣自己的應(yīng)用，但從開(kāi)始到最終關(guān)閉服務(wù)器，并未使用過(guò)廣告功能。而在10天前，他已主動(dòng)關(guān)閉服務(wù)器，并刪除所有數(shù)據(jù)，更不會(huì)對(duì)任何人有任何影響。“XcodeGhost不會(huì)影響任何App的使用，更不會(huì)獲取隱私數(shù)據(jù)，僅僅是一段已經(jīng)死亡的代碼�！�

    但在安全界人士看來(lái)，進(jìn)行這種黑客行為對(duì)制造者的技術(shù)水平要求很高，絕非一般人能夠所為，應(yīng)該是有一個(gè)團(tuán)隊(duì)在操盤(pán)，很可能是和黑色產(chǎn)業(yè)鏈有關(guān)系。安全界人士韓爭(zhēng)光認(rèn)為，“這種黑客直接把木馬代碼嵌入了iOS開(kāi)發(fā)工具源頭的攻擊方式在國(guó)內(nèi)尚屬首次，而一旦這扇門(mén)開(kāi)了，帶來(lái)的風(fēng)險(xiǎn)是不言而喻的�！�

    App開(kāi)發(fā)環(huán)境中毒了

    除了黑客的惡意攻擊，iOS開(kāi)發(fā)者在整個(gè)事件中同樣難辭其咎。在多個(gè)國(guó)內(nèi)安全實(shí)驗(yàn)室給出的報(bào)告中都指出，XcodeGhost事件的罪魁禍?zhǔn)拙褪情_(kāi)發(fā)人員從非官方下載的Xcode，正是在這些變異的Xcode中找出了在官方版本中不存在的“系統(tǒng)組件”。

    為什么國(guó)內(nèi)開(kāi)發(fā)者會(huì)棄官方版本不用而選用普遍意義上的“盜版”？在網(wǎng)絡(luò)上大部分開(kāi)發(fā)者給出的解釋是，官方版本下載速度過(guò)慢，因此他們更愿意使用第三方下載渠道的Xcode。因?yàn)閺淖罱K的操作環(huán)境看，兩者之間幾乎沒(méi)有差異。

    對(duì)此，《IT時(shí)報(bào)》記者采訪了數(shù)位iOS開(kāi)發(fā)者后卻得出了不同的結(jié)論，“開(kāi)發(fā)者說(shuō)太慢可能是在找借口，”在一位來(lái)自廣州的iOS開(kāi)發(fā)者看來(lái)，與iPhone用戶進(jìn)入App Store的情形相同，下載Xcode偶爾的卡頓在所難免，“開(kāi)發(fā)者進(jìn)入Xcode有時(shí)候會(huì)很慢，尤其在網(wǎng)速很慢的情況下，下載或許會(huì)用到一兩個(gè)小時(shí)，但快的時(shí)候也就十幾分鐘�！�

    另一方面，企業(yè)對(duì)下載源的控制也幾乎是空白，導(dǎo)致在大環(huán)境上無(wú)從把控。一位素來(lái)習(xí)慣使用官方軟件的iOS開(kāi)發(fā)者告訴《IT時(shí)報(bào)》記者，他此前應(yīng)聘過(guò)一家IT公司，公司電腦上已經(jīng)安裝了Xcode開(kāi)發(fā)環(huán)境，盡管是非官方，但他覺(jué)得自己沒(méi)必要再重裝開(kāi)發(fā)環(huán)境，“設(shè)想一下如此循環(huán)，所有出自這家公司的軟件都有可能染上惡意病毒�！�

    開(kāi)發(fā)者安全意識(shí)淡薄引擔(dān)憂

    到目前為止，國(guó)內(nèi)沒(méi)有任何一家企業(yè)IT安全管理對(duì)開(kāi)發(fā)者的下載環(huán)境及程序進(jìn)行明文要求，其中包括微信、網(wǎng)易云音樂(lè)這樣的大型開(kāi)發(fā)團(tuán)隊(duì)。但事實(shí)上，這并非無(wú)蹤跡可尋，在國(guó)內(nèi)，盜版?zhèn)�人軟件早已成為木馬植入的重災(zāi)區(qū)，作為開(kāi)發(fā)者不會(huì)全然沒(méi)有意識(shí)，“非官方下載的軟件廣告非常多，這點(diǎn)在第三方下載的Xcode中也存在同樣的情況�！�

    讓人更為恐懼的是，類(lèi)似植入開(kāi)發(fā)源的惡意程序，開(kāi)發(fā)者若“失守”，蘋(píng)果官方也將很難審查，因?yàn)椴《疚募�藏得太深了�?/p>

    事件發(fā)生后，不同平臺(tái)迅速修補(bǔ)了漏洞，并更新了新版本。但在國(guó)內(nèi)開(kāi)發(fā)者中，依然并不認(rèn)為事件很?chē)?yán)重，“沒(méi)什么影響啊，這個(gè)問(wèn)題現(xiàn)在又沒(méi)有造成什么危害。”一個(gè)小型團(tuán)隊(duì)的開(kāi)發(fā)者說(shuō)道。未來(lái)，至少大公司應(yīng)該對(duì)開(kāi)發(fā)工具的下載源進(jìn)行嚴(yán)格控制了。