XcodeGhost病毒波及大量主流iOS应用

2015/9/23 来源:www.arpun.com 作者:小白

据乌云漏洞平台报道, 国内多个厂商的App开发者使用了第三方途径下载的Xcode开发环境(非Apple正规途径), 下载了被植入了恶意代码的iOS应用开发工具Xcode, 导致其编译后应用感染上了一种名叫XcodeGhost的病毒, 会自动发送信息至第三方远端服务器, 这种病毒不仅会在应用运行时窃取用户信息, 并有可能窃取用户的iTunes密码。

  Xcode是运行在Mac OS X 上的集成开发工具。 该工具由苹果公司研发, 是目前最常见的iOS应用开发工具。 有部分iOS开发者没有从苹果的官方渠道下载Xcode开发工具, 而是从迅雷、百度网盘等第三方途径获得该工具, 而病毒开发者正是利用了这一点。 正是因为使用的是修改版的Xcode开发工具, 所以做出来的应用自然也就是携带病毒的了。

  这次XcodeGhost木马病毒的泛滥有可能和迅雷有关, 一些开发者称, 即使地址用的是官方地址, 使用迅雷下载的Xcode依旧可以下载到被修改的带有木马病毒的Xcode。

XcodeGhost病毒波及大量主流iOS应用

  据360安全播报的统计, 目前已知的被植入Xcode恶意代码的iOS应用有:

 

微信 6.2.5 
网易云音乐 2.8.1
网易云音乐 2.8.3
网易公开课 4.2.8
图钉 7.7.2 
同花顺 9.26.03
同花顺 9.60.01
铁路12306 2.1
天涯社区 5.1.0
天使房贷 5.3.0.2 - 5.3.0
三国名将 4.5.0.1 - 4.5.1 
穷游 6.4.1 - 6.4 
穷游 6.4.1
逆轉三國 5.80.5 - 5.80 
南京银行 3.6 - 3.0.4
南方航空 2.6.5.0730 -   2.6.5 
妈妈圈 5.3.0
联通手机营业厅 3.2
开眼 1.8.0
卷皮 3.3.1
简书 2.9.1
股票雷达 5.6.1 - 5.6 
高德地图 7.3.8.1040 -   7.3.8 
高德地图 7.3.8.2037
夫妻床头话 2.0.1
动卡空间 3.4.4.1 - 3.4.4 
电话归属地助手 3.6.3 
滴滴打车 3.9.7.1 - 3.9.7 
滴滴出行 4.0.0
炒股公开课 3.10.02 -   3.10.01 
百度音乐 5.2.7.3 - 5.2.7 
自由之战 1.0.9 
诊疗助手 7.2.3 
造梦西游OL 4.6.0
下厨房 4.3.1
下厨房 4.3.2
我叫MT2 1.8.5
我叫MT 4.6.2
YaYa药师 1.1.1
YaYa 6.4.3 - 6.4 
WO+创富 2.0.6 - 2.0.4 
WallpaperFlip 1.8
VGO视信 1.6.0 
UME电影票 2.9.4 
UA电影票 2.9.2 
Theme 2.4 - 2.4 
Theme 2.4.2 - 2.4 
Phone+ 3.3.6 
Perfect365 4.6.16
OPlayer Lite 21051 - 2105
MTP管理微学 1.0.0 - 2.0.1 
Mail Attach 2.3.2 - 2.3 
Jewels Quest 2 3.39
H3C易查通 2.3 - 2.2 
Digit God 2.0.4 - 2.0 
Cute CUT 1.7
CarrotFantasy 1.7.0.1 - 1.7.0 
CamCard 6.3.2.9095 -   6.3.2 
Albums 2.9.2 
AA记账 1.8.7 - 1.8 
51卡保险箱 5.0.1
2345浏览器 4.0.1

 

  针对XcodeGhost事件, 微信官方公告如下:

  目前, 网上传播微信6.2.5版本存在严重漏洞的说法, 微信团队说明如下:

  1.该问题仅存在iOS 6.2.5版本中, 最新版本微信已经解决此问题, 用户可升级微信自行修复, 此问题不会给用户造成直接影响。

  2.目前尚没有发现用户会因此造成信息或者财产的直接损失, 但是微信团队将持续关注和监测。

  3.微信技术团队具备成熟的“反黑客”技术, 一旦发现黑客攻击, 将第一时间做出技术对抗并及时锁定黑客具体信息, 配合公安机关打击相关违法犯罪活动。

  4.用户在使用微信过程中有任何问题, 可通过微信公众号“微信团队”向我们反馈。

  微信团队

  2015年9月18号 

  迅雷的官方回应如下:

  各位媒体朋友和迅雷用户:

  对于今天爆出的Xcode被植入恶意代码一事, 我们注意到有猜测称, 迅雷服务器受到感染, 导致使用迅雷会下载到含有恶意代码的Xcode。

  迅雷第一时间安排工程师进行检测。 工程师测试了乌云网原文中提到的Xcode6.4和7.0两个版本的下载, 检查了索引服务器中的文件校验信息, 并对比了离线服务器上的文件, 结果都与苹果官方下载地址的文件信息一致。 也就是说, 官方链接的Xcode经迅雷下载不会被植入恶意代码。

  感谢大家对迅雷的支持, 请大家放心使用迅雷!

  网易云音乐的回应公告如下:

  受非官方渠道开发工具XcodeGhost“感染”影响, iPhone端部分应用会上传产品自身的部分基本信息(安装时间, 应用id, 应用名称, 系统版本, 语言, 国家)。

  此次感染设计信息皆为产品的系统信息, 无法调取和泄露用户的个人信息。 目前感染制作者的服务器已关闭, 不会产生任何威胁。

  再次感谢大家对网易云音乐一直以来的关注与支持。

  有用户举报始作俑者的网名为coderfun, 主要以各类 iOS 开发论坛和微博留言区为据点, 提供带有病毒版本的 Xcode 网盘下载地址, 其中包括了从 Xcode6.1-Xcode6.4 的所有版本, 目前其真身不得人知。 分析人士指出, 病毒作者是个老手, 并且非常小心, 在代码和服务器上都没有留下什么痕迹。

  还有有用户爆料称, XcodeGhost 病毒可以在未越狱的 iPhone 上伪造弹窗进行钓鱼攻击, 其生成的对话窗口仿真度非常高, 很难辨别。

  因此, 使用过上述应用的用户, 应该立刻修改自己的iCloud密码, 最好能加上“两步验证”, 保护苹果iCloud账户的较好方法是启用“两步验证”, 具体位置是:“我的 Apple ID”-“管理您的 Apple ID”, 选择“密码和帐户安全”。 在“两步验证”下, 选择“开始设置”, 用过用户修改过密码, 那么今天申请, 三天后才能开通。

  不过, XcodeGhost事件并不表明苹果iOS的安全性相比安卓有什么问题, 实际上, 就开发环境来说, 安卓也是一样的, 苹果的开发软件下载速度慢, 而安卓的开发软件不翻墙根本无法从官网下载, 大量安卓开发者都不是从官网下载的开发环境, 很多开发工具来路不明, 因此安卓很可能也存在类似问题。

  9月19日凌晨4:40分, XcodeGhost事件的始作俑者以 XcodeGhost-Author 的身份在新浪微博贴出致歉声明, 称其只是一个实验性项目, 并没有任何包含威胁性的行为。 并公开了源码。 声明原文如下:

  关于所谓“XcodeGhost”的澄清

  首先, 我为XcodeGhost事件给大家带来的困惑致歉。 XcodeGhost源于我自己的实验, 没有任何威胁性行为, 详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost

  所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现:修改Xcode编译配置文本可以加载指定的代码文件, 于是我写下上述附件中的代码去尝试, 并上传到自己的网盘中。

  在代码中获取的全部数据实际为基本的app信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类 型。 除此之外, 没有获取任何其他数据。 需要郑重说明的是:出于私心, 我在代码加入了广告功能, 希望将来可以推广自己的应用(有心人可以比对附件源代码做校 验)。 但实际上, 从开始到最终关闭服务器, 我并未使用过广告功能。 而在10天前, 我已主动关闭服务器, 并删除所有数据, 更不会对任何人有任何影响。

  愿谣言止于真相, 所谓的"XcodeGhost", 以前是一次错误的实验, 以后只是彻底死亡的代码而已。

  需要强调的是, XcodeGhost不会影响任何App的使用, 更不会获取隐私数据, 仅仅是一段已经死亡的代码。

  再次真诚的致歉, 愿大家周末愉快。

网友评论
评论(...
全部评论