“XcodeGhost”病毒之后，苹果更应注…

虽然大家都在期待中秋假期的到来，不过让开发者挺闹心的一件事就是这几天网上、朋友圈以及各种群中炒得沸沸扬扬的“XcodeGhost”病毒事件，就连央视也惊动了！！

事件起源

事件起源于CNCERT发布的一篇《关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报》，声称开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序（苹果APP）时，会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App
Store正常下载并安装使用。该恶意代码具有信息窃取行为，并具有进行恶意远程控制的功能。随后多位知名iOS开发者在社交网络上验证了这则信息的真实性。

为什么使用了带病毒的Xcode？

从开发者给出的消息，我们知道并不是苹果官方的Xcode出现了问题，而是由于一些开发者觉得通过苹果官方渠道下载Xcode的速度实在是太慢了，就从非官方渠道下载了Xcode，结果这些Xcode被人做过手脚的。开发者使用带有XcodeGhost病毒的Xcode编译应用程序，从而导致应用被注入了第三方的代码，主动向某网站（目前已经关闭）上传输应用和系统的基本信息。

有多少款应用程序中招，以及可能存在的影响

根据央视的统计，包括百度音乐、微信、滴滴打车、58同城、网易云音乐等多款知名应用在内的350余款App被感染。

影响：

• 在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器。上报的信息包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息，能精准的区分每一台iOS设备。

• 黑客可以下发伪协议命令在受感染的iPhone中执行。黑客能够通过上报的信息区分每一台iOS设备，然后如同已经上线的肉鸡一般，随时、随地、给任何人下发伪协议指令，通过iOS
  openURL这个API来执行。

• 黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口。

• 远程控制模块协议存在漏洞，可被中间人攻击。

不过，感染病毒的APP仅限于使用该Xcode的特定版本，并且不少应用程序已经更新了版本。比如网易云音乐、微信、滴滴打车等，所以开发者的当务之急是尽快更新应用版本，以免给用户带来不好的使用体验。

如何避免下载到带病毒的Xcode

为避免下载带有“XcodeGhost”病毒的Xcode版本，请开发者通过苹果官方渠道下载Xcode，同时应提高安全意识，注意开发工具、编译环境以及发布环境的安全性。

开发者补救措施
对于已经中招的APP，CocoaChina版主熊猫表示开发者可下载官方的Xcode，重新编译打包提交，并申请苹果加速审核。

如果开发者不确定此前使用带有“XcodeGhost”病毒的Xcode编译的版本是否被苹果发现，最好也使用官方渠道下载的Xcode重新编译提交审核，以免后期出现问题。如果不确定当前使用的Xcode是否带有“XcodeGhost”病毒，可参看《XcodeGhost事件全程回顾》一文

病毒作者致歉声明的可信性

在大家对病毒技术以及危害进行分析时，一个名为“XcodeGhost-Author”的ID在微博上发布了一则致歉声明，表示XcodeGhost是自己一次错误的实验行为，以后只是彻底死亡的代码而已。该代码所获取的信息包括应用名称、应用和系统版本号、语言、国家名、开发者符号、APP安装时间、设备名称以及设备类型，此外没有获得其他任何数据。

对于作者的陈述，有开发者表示通过逆向工程对比发现，作者的陈述基本可信，但也有不少人表示质疑。因为除了基本的信息收集外，还有可能利用服务器返回来构造模拟弹窗，要求用户输入一些重要信息，还能实现跳过
App
Store安装未经审核的安装包，以及通过应用推广获取利益和推送全功能远程控制程序。关于XcodeGhost存在的危险，可参看《XcodeGhost
实际用途猜测分析》一文。

苹果的态度

对于开发者来说，带有“XcodeGhost”病毒的应用则可能导致应用被苹果下架，目前苹果已经着手清理被感染的应用程序。苹果发言人克里斯汀·莫纳汉(Christine
Monaghan)在一封电子邮件中表示：“我们已经从App
Store删除了这些基于伪造工具开发的应用。我们正在与开发者合作，确保他们使用合适版本的Xcode去重新开发应用。”

根据CocoaChina版主熊猫提供的信息，在检测出应用包含恶意代码后，苹果已经电话通知应用存在安全问题。

苹果平台的安全性

相比较其他平台的应用商店，苹果App
Store的审核已经是非常严格了，但此次事件被中国反审查维权组织Greatfire.org称为是苹果应用商店历史上波及范围最广、最严重的恶意攻击事件。这无疑提醒苹果仍需提高安全意识，此外也提醒苹果更要注意提高开发工具的安全性。