誰(shuí)讓iOS系統(tǒng)失守

Xcode Ghost（下稱(chēng)Xcode）事件仍在持續(xù)發(fā)酵。

9月14日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心在官網(wǎng)發(fā)布了“關(guān)于使用非蘋(píng)果官方Xcode存在植入惡意代碼情況的預(yù)警通報(bào)”。

通報(bào)稱(chēng)，國(guó)內(nèi)開(kāi)發(fā)者使用非蘋(píng)果公司官方渠道的Xcode工具開(kāi)發(fā)蘋(píng)果應(yīng)用程序時(shí)，會(huì)向正常的蘋(píng)果App植入惡意代碼，這些受感染的蘋(píng)果App可以在App Store正常下載并安裝，且惡意代碼具有信息竊取行為，并有進(jìn)行惡意遠(yuǎn)程控制的功能。

近日，業(yè)界知情人士向《財(cái)經(jīng)》記者介紹稱(chēng)，這次iOS系統(tǒng)木馬入侵事件，已導(dǎo)致大約1億左右蘋(píng)果手機(jī)用戶受到感染影響，另由Unity開(kāi)發(fā)引擎開(kāi)發(fā)的游戲軟件也可能已被“投毒”，這意味著不僅蘋(píng)果系統(tǒng)手機(jī)“中槍”，包括微軟和安卓系統(tǒng)在內(nèi)的部分游戲軟件同樣存在感染類(lèi)似Xcode木馬的安全風(fēng)險(xiǎn)。

Xcode事件雖然沒(méi)有在用戶群引起廣泛關(guān)注，但對(duì)于軟件開(kāi)發(fā)者而言是一次不小的地震。技術(shù)人員表示，號(hào)稱(chēng)全球安全系數(shù)最高的手機(jī)系統(tǒng)iOS被悄無(wú)聲息地攻破，進(jìn)攻者入侵后還可快速全身而退，絕非常人所能及。

業(yè)內(nèi)專(zhuān)家龍威廉向《財(cái)經(jīng)》記者分析，主導(dǎo)者至少準(zhǔn)備了半年甚至更長(zhǎng)時(shí)間，因?yàn)?月份國(guó)內(nèi)一些軟件開(kāi)發(fā)的專(zhuān)業(yè)論壇，就出現(xiàn)過(guò)大量推廣下載Xcode進(jìn)行軟件開(kāi)發(fā)的帖子。

主導(dǎo)者先將正版蘋(píng)果App開(kāi)發(fā)包 Xcode的源代碼進(jìn)行修改嵌入惡意代碼，而后將修改的開(kāi)發(fā)包上傳至百度網(wǎng)盤(pán)，并不斷在各大論壇刷帖，提高關(guān)鍵詞熱度使其不斷優(yōu)化得到推廣。當(dāng)軟件開(kāi)發(fā)者在搜索引擎輸入Xcode等關(guān)鍵詞時(shí)，這個(gè)仿冒的開(kāi)發(fā)包就會(huì)被自動(dòng)推送到上端，并最終鏈接到百度網(wǎng)盤(pán)的網(wǎng)址，供開(kāi)發(fā)者下載使用。

開(kāi)發(fā)者會(huì)優(yōu)先下載使用百度網(wǎng)盤(pán)的數(shù)據(jù)，是緣于正版的 Xcode下載速度過(guò)慢。據(jù)悉，蘋(píng)果正版軟件開(kāi)發(fā)包容量有5GB，以國(guó)內(nèi)網(wǎng)速而言，需要很長(zhǎng)時(shí)間。

百度網(wǎng)盤(pán)只需幾個(gè)小時(shí)就可完成下載。App軟件開(kāi)發(fā)者在使用這個(gè)開(kāi)發(fā)包時(shí)，很難辨識(shí)出其中是否暗藏木馬。因?yàn)閄code嵌入的惡意代碼屬于二進(jìn)制代碼，開(kāi)發(fā)過(guò)程中可通過(guò)Core Service庫(kù)文件進(jìn)行感染，具有極高的隱秘性和迷惑性，需對(duì)源代碼進(jìn)行編譯后再用專(zhuān)業(yè)的抓包工具進(jìn)行檢測(cè)，才可能發(fā)現(xiàn)疑似病毒。

“無(wú)論是國(guó)內(nèi)軟件開(kāi)發(fā)者還是蘋(píng)果公司的安全人員，都沒(méi)有預(yù)料也很難發(fā)現(xiàn)這個(gè)漏洞?！币晃恢槿耸糠Q(chēng)，Xcode事件的主導(dǎo)者能成功躲過(guò)安全系統(tǒng)的層層審核，至少說(shuō)明當(dāng)事者對(duì)蘋(píng)果安全審核機(jī)制以及國(guó)家監(jiān)管體系等都非常清楚，才能做到在中國(guó)本土化的iOS系統(tǒng)安插“后門(mén)”，搜集用戶信息。

9月16日，騰訊安全中心和360公司的技術(shù)人員陸續(xù)發(fā)現(xiàn)，蘋(píng)果iOS系統(tǒng)App Store上的Top5000應(yīng)用有數(shù)百款被該木馬感染。其中包括裝機(jī)量過(guò)億的微信iOS（6.2.5版）、高德地圖（7.3.8版）以及中信銀行動(dòng)卡空間（3.3.12版）、中國(guó)聯(lián)通網(wǎng)上營(yíng)業(yè)廳（3.2版）、滴滴打車(chē)（3.9.7版）、網(wǎng)易云音樂(lè)（2.8.3版）、51卡保險(xiǎn)箱（5.0.1版）、同花順（9.26.03版）、喜馬拉雅（4.3.8版）等。

9月19日，一位自稱(chēng)是Xcode事件主導(dǎo)者的網(wǎng)友發(fā)微博聲明稱(chēng)，這只是實(shí)驗(yàn)項(xiàng)目，無(wú)任何危險(xiǎn)，更不會(huì)獲取用戶的隱私數(shù)據(jù)。該網(wǎng)友還在微博強(qiáng)調(diào)，其搜集的數(shù)據(jù)都是App的基本信息，如應(yīng)用號(hào)、系統(tǒng)版本號(hào)、設(shè)備名等，且于9月9日就主動(dòng)關(guān)閉了服務(wù)器并刪除了所有數(shù)據(jù)。

對(duì)此，9月20日，蘋(píng)果方面回應(yīng)稱(chēng)，在這次攻擊中，黑客誘騙應(yīng)用開(kāi)發(fā)者使用了修改過(guò)的蘋(píng)果應(yīng)用開(kāi)發(fā)工具Xcode，并將惡意代碼注入這些應(yīng)用。

蘋(píng)果發(fā)言人克里斯汀·莫納漢（Christine Monaghan）在一封電子郵件中表示，蘋(píng)果工作人員已從iOS App Store中刪除了這些基于偽造工具開(kāi)發(fā)的應(yīng)用，并與開(kāi)發(fā)者合作，確保他們使用合適版本的Xcode去重新開(kāi)發(fā)應(yīng)用。

據(jù)悉，這也是App Store首次遭遇大規(guī)模信息安全攻擊。

有技術(shù)專(zhuān)家表示，雖然搜集信息的服務(wù)器已被關(guān)閉，但并不代表其他黑客不會(huì)利用已被攻破的路徑或類(lèi)似路徑，去控制被感染用戶的手機(jī)。專(zhuān)家建議，被感染用戶需及時(shí)刪除和更新被感染木馬的App，否則仍將存在個(gè)人信息泄露和被搜集其他信息的安全隱患。

按照Xcode嵌入代碼的設(shè)計(jì)，其可隨時(shí)向被感染手機(jī)發(fā)送指令，如強(qiáng)制彈出廣告，獲取更多個(gè)人信息。這意味著，被感染用戶收到銀行App系統(tǒng)發(fā)送的輸入賬戶和密碼指令，有可能并不是由銀行發(fā)出。消息人士進(jìn)一步指出，事件中已知4家國(guó)有大型銀行App中招感染了該木馬。

中國(guó)市場(chǎng)有4.5億臺(tái)智能手機(jī)設(shè)備，其中約有1.3億臺(tái)安裝了蘋(píng)果系統(tǒng)。據(jù)商業(yè)安全機(jī)構(gòu)的評(píng)估測(cè)算，這次Xcode事件至少導(dǎo)致1億左右的iOS系統(tǒng)用戶“中毒”。

一波未平一波又起。

9月23日上午，百度安全實(shí)驗(yàn)室發(fā)現(xiàn)Unity3D等多款用于游戲開(kāi)發(fā)的工具，同樣被插入了類(lèi)似Xcode的惡意代碼，該惡意代碼目前被阿里移動(dòng)安全團(tuán)隊(duì)命名為“Unity Ghost”。

據(jù)悉Unity可發(fā)布游戲至Windows、OS X、Wii、iPhone、Windows phone 8和Android平臺(tái)。一些軟件開(kāi)發(fā)團(tuán)隊(duì)（盤(pán)古越獄團(tuán)隊(duì)等）證實(shí)，部分游戲開(kāi)發(fā)引擎的安卓版已被感染“Unity Ghost”。

中國(guó)互聯(lián)網(wǎng)領(lǐng)域研究人員介紹說(shuō)，近年來(lái)中國(guó)互聯(lián)網(wǎng)安全受到了極大挑戰(zhàn)。去年包括如家和漢庭在內(nèi)的一半左右經(jīng)濟(jì)型酒店的開(kāi)房記錄數(shù)據(jù)庫(kù)被攻破;今年中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）頒發(fā)了一個(gè)可用于中間人攻擊的SSL證書(shū)，被谷歌Chrome瀏覽器和火狐瀏覽器禁止;5月底，攜程的根數(shù)據(jù)庫(kù)被格式化;7月份百度被劫持;以及9月份蘋(píng)果iOS系統(tǒng)被木馬入侵等。

“就目前情況相比較而言，Xcode木馬入侵事件，很有可能成為今年最嚴(yán)重的信息安全事件?！鄙鲜鲅芯咳藛T表示，這次攻擊三個(gè)月至少花費(fèi)50萬(wàn)美元，而對(duì)于大投入?yún)s未見(jiàn)收益就戛然而止的項(xiàng)目，個(gè)人或商業(yè)機(jī)構(gòu)一般不會(huì)去做，也就是說(shuō)此事必定為掌握大量關(guān)鍵資源和大量資金支持的團(tuán)隊(duì)長(zhǎng)期部署所為。

《財(cái)經(jīng)》記者還獲悉，Xcode事件爆發(fā)后，除商業(yè)安全評(píng)估機(jī)構(gòu)和業(yè)界技術(shù)專(zhuān)家在關(guān)注外，互聯(lián)網(wǎng)辦公室與工信部等國(guó)家高層監(jiān)管系統(tǒng)，也在密切監(jiān)控該事件發(fā)展動(dòng)向。

iOS系統(tǒng)失守，國(guó)內(nèi)的安卓系統(tǒng)更不容樂(lè)觀。據(jù)獵豹移動(dòng)安全實(shí)驗(yàn)室發(fā)布的《2014-2015中國(guó)互聯(lián)網(wǎng)安全研究報(bào)告》顯示，去年全球感染病毒的安卓手機(jī)計(jì)2.8億部，平均每天80萬(wàn)部安卓手機(jī)中毒，中國(guó)以近1.2億部手機(jī)中毒高居榜首，已成為全球受安卓病毒之害最嚴(yán)重的國(guó)家。

就立法層面而言，如何避免大數(shù)據(jù)時(shí)代技術(shù)為刀俎，用戶為魚(yú)肉，確保用戶信息安全，仍將是一個(gè)值得持續(xù)深思的問(wèn)題。