网易云音乐、滴滴打车、微信等app的木马注入(XCODEGHOST)到底会有多坏影响? 举报 理由 举报 取消 2017年8月9日 10 条回复 1454 次浏览 App,Store,Xcode,XcodeGhost,信息安全,网易,音乐
回复 ( 10 )
2015年9月19日10时 更新:
就在今天凌晨,Github 上出现了个新项目:XcodeGhostSource/XcodeGhost · GitHub关于流传的「迅雷离线服务器被攻破」,我认为有点异想天开。简单猜想一下迅雷离线的工作原理,我觉得只要木马开发者用本地代理或者改 hosts 等方法在自己本机劫持了 Apple 官方的 xcode 下载链接,然后通过迅雷进行下载,就能产生给迅雷产生从苹果官方服务器下载的假象,然后迅雷从开发者的机器里把注入过木马的 xcode 上传到了离线缓存或者 p2p 到其他用户的电脑里,最后就这么传播开了…
跑题了,各位看官不好意思。我认为这次木马事件中,受到波及最大的就是网易了,其次就是那些名单上的那些应用以及各种多多少少有些亲缘的应用。企业公信力的丧失,用户变成惊弓之鸟,那些大厂公开道歉,自我反思,之后联合揪出罪魁祸首,最后事情不了了之…脑残粉照样用,不用的人想用时会产生警惕;那些之前就卸载了的,偏激一点的就是上面说的「网易一生黑」了,理智一点的大概会装回去吧。
最后就是希望大家理智思考问题,然后就是建议各位 iOS 用户暂时卸载受该次事件波及的应用,等待厂商的解决方案。
都怪这些公司那么抠门,正规的做法,虽然说网络出口那里有【哔—】,多花点钱搞定也不会死啊。
我想说的是,苹果安装xcode,难道不会像Windows的UAC那样弹一个窗口,然后你签名不对窗口颜色都跟正常的不一样吗,为什么还装?
苹果App Store模式的出现,为第三方软件的提供者提供了软件销售平台,激励了第三方开发者的积极性,同时也加大了市场对个性化软件应用的需求。
这样的应用商店模式固然方便,但是需要厂商对应用的审核严格把关才行,不然就容易出现漏洞。
雷锋网9月18日消息,根据乌云网和硅谷安全公司Palo Alto发布安全预警称,在App Store商家的多个应用被注入Xcode第三方恶意代码,这个代码可以将用户的信息发送到黑客的服务器上。目前得知,被感染恶意代码的应用就包括国内知名应用网易云音乐,最新的v2.8.3版本的网易云音乐已经感染病毒,据知情人士爆料,除网易云音乐外,12306、中信银行动卡空间等应用也受到了影响。
跟据技术分析,该病毒会收集应用和系统的基本信息,包括时间、bundle id(包名)、应用名称、系统版本、语言、国家等,并上传到这个网址上,该网站域名为病毒作者申请,专用于收集数据。
对此,乌云网给出了相关建议,使用非官方渠道下载Xcode的iOS开发者请立刻展开清查和处理,恶意Xcode包含类似以下文件:
“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”
而正常的Xcode的SDK目录下没有Library目录。
相对于其他的应用商店,苹果一直非常奉行极其严苛的在安全策略,所以业内普遍认为,苹果应用商店App Store安全性要高于谷歌的Google Play。但百密终有一疏,在此次漏洞之前,苹果的App Store就曾经被曝过几次存在安全漏洞的问题,皆因App Store的审核程序漏洞之类的原因,导致恶意程序绕过审核而进入App Store。2013年,美国佐治亚理工学院的一组研究人员日前在App Store审核程序中找到了漏洞,可绕过审批程序向App Store输入应用,用户只要安装注入了恶意代码的应用,该应用就能够执行各种任务,如发送短信、电子邮件、在Twitter上发布消息、拍照、拨打电话,甚至重启系统等行为。
不过相对那次漏洞,本次的Xcode恶意代码并没有那么严重,由于苹果本身权限限制比较严格,这类信息的泄露相对来说威胁轻微,用户并不必过分担心账号安全。目前只需等待开发者重新开发安装包来替换原来的文件,到时用户更新应用即可。
(觉得雷锋网这篇报道理性、客观,比较能代表我的观点,故转之,供参考)
分享一下印象比较深的一个事…
Xcode的下载地址,除了Mac App Store就只有官网的开发者页面:Apple Developer。在这个界面基本上下载无论什么资源都要登陆(正式版可能不用,但测试版是肯定的)。有一次从官网下载Xcode,下到一小半下不动了,就复制了下载链接,尝试着用迅雷下载。一开始迅雷并没有开始下,后来在我点开了高速通道之后开始下载了,速度还挺高。当时我还想着,迅雷的缓存还挺全的嘛!后来越想越不对劲:苹果官网下Xcode不是要授权的吗?为什么迅雷高速通道直接开始下载了??如果没有得到原始文件,那这个高速下载算法是怎么弄的?想了想,有一个可能性:迅雷对指定URL的内容有自动的缓存。那么问题来了,有可能这个缓存不是从官网弄的,而是别人下好了然后分享出来的。如果有人有恶意,完全可以做一个假的URL解析,然后开通高速通道,假装下一个自己自制的,带有恶意软件的Xcode…然后这个Xcode被传到迅雷的服务器并扩散开来…
当时我以为,这都是我的想象,没想到现在好像还真出来了这么个“盗版Xcode”,只能说很多人平时并不注意这些吧。虽然技术细节可能不是我想象的那样,但是能根据一个空的URL下载文件,确实也挺可怕的…退一步讲,Xcode如果没有签名,以苹果的设置,一定会报一个签名错误。为什么那么多大公司并没有检查那个签名,这也是个问题。再退一步,这种开发资源,公司不应该统一建一个OS X更新服务器然后统一部署吗?
只能说,肯定很多环节都大意了,才造成的这个结果…无论是大公司还是自己,以后都要加强这方面的管理/注意才是。
用户资料这方面,我觉得倒是不用担心。网易请求权限哪怕是在安卓上也很有节制,在iOS上,不给相关权限,一个通用的病毒能上传的,可能也就是用户名密码这类的东西吧。自己把密码设置的牢一点,差别大一点,一般没什么事。
最后想请教一下,有什么要访问相册的常用App中招了没!(◎_◎;)
有些地方可能想的不周全,如有还请指正
更新:
存在套取iCloud密码的可能!
======================================
听说是只收集APP的版本信息和开关情况,没发现收集用户隐私信息。
另有消息,这么大规模中招是因为成功诱导了迅雷离线服务器,所以即使在迅雷里粘贴苹果官方下载地址也会下载到被感染的Xcode安装包。要养成下载后验证比对的习惯啊同志们。
嗯..我托的网很给力,1.5小时就从MAS下载完毕
感谢我托
这次的影响应该就是以后没人敢去百度盘啊 360盘啊 去下载Xcode了
怪不得苹果一直封杀外链下载Xcode..
这种木马也干不了什么事,一旦干了越界的事,上传ipa的时候就被拒了.
给App权限要注意了..万一中木马了呢,虽然有沙箱吧..
最坏的影响就是现在大家都知道了即使程序有后门也可以通过App Store的审核,所以今天之后,国内无良开发者要开始偷东西了。
下载慢去搞个vpn嘛,又没几个钱。
什么迅雷 数字这些厂的东西家里玩玩也就算了,工作场合能信他?
小开发没意识,老板也这么蠢吗?
WP就有一个好……
1 把受影响的app都删掉了;
2 对这些个大厂的开发质量存疑;
3 心情不好或者有时间的话还会刷个1星好评;
作为个用户,这就是这次事件给我的影响.
PS:这事让我想起了wp7刚出来时 人人 微博 和百度 3个app的GUID一致的奇闻.