xCodeGhost事件仍然在持续发酵。
由于国内部分知名软件公司使用了第三方下载提供的修改版苹果xCode开发工具,导致经过这些版本开发并发行的iOS APP被植入后门。
xCodeGhost影响有多大?
9月19日早8点,360旗下涅槃团队扫描14.5万多个APP后得到的结果显示,有344款APP感染了XcodeGhost木马。其中包括百度音乐、微信、高德、 滴滴、花椒、58同城、网易云音乐、12306、同花顺、南方航空、工行融e联、重庆银行等用户量很广的APP,涉及互联网、金融、铁路航空、游戏等众多领域。
从涅槃团队披露的列表来看,拥有海量用户的BAT公司旗下应用均有中招。腾讯**应急响应中心分析了76款被XCodeGhost感染的APP后认为,保守估计受这次事件影响的用户数超过一亿。
xCodeGhost到底是不是病毒?
于9月17日注册的微博用户XcodeGhost-Author发文表示对xCodeGhost负责。
在其发表的微博中,XcodeGhost-Author称,XcodeGhost源于其自己的实验,没有任何威胁性行为,只是一段已经“彻底死亡的代码”而已。作者称,在10天前其就将APP上传信息的服务器关闭并删除了收集的数据。XcodeGhost-Author同时在Github上公布了XcodeGhost的源代码,以便让第三方机构或个人验证其说法的真实性。
腾讯**应急响应中心从技术角度分析了xCodeGhost的行为,将XcodeGhost归为“病毒”。根据腾讯**应急响应中心的分析,受感染的iOS APP在启动、运行、退出时,会上报信息到黑客控制的服务器上。上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准地区分每一台iOS设备。
腾讯**应急响应中心认为,黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时随地给任何人下发指令,通过iOS openURL API,控制受感染的iPhone,完成打开网页、发短信、打电话等常规手机行为。xCodeGhost具备远程控制能力和自定义弹窗能力,而远程控制模块本身还存在漏洞,可被其它黑客利用进行中间人攻击。腾讯**应急响应中心称,这个事件的危害其实被大大低估了。
360旗下涅槃团队在9月20日凌晨发布技术分析称,利用xCodeGhost恶意代码,可以做应用推广、伪造内购页面、通过远程控制,可以在用户手机上提示?相关弹窗信息等。
Android潜规则进入iOS引发炒作
一位上市网络**公司要求匿名的**专家对搜狐科技表示,尽管可能会存在被利用的**漏洞,但没有充分的证据证明XCodeGhost就是一个病毒,充其量只是算是一个木马或后门。
这位**专家表示,互联网软件中其实有很多软件都有后门。如果XCodeGhost是病毒的话,估计国内Android系统里跑的所有APP应用都是病毒了。几乎每个APP都会获取用户的手机串号等信息,理由是更好地做适配,为用户提供更好的交互体验。每个Android APP都会连网,向***指定的服务器传输一些机器甚至个人的信息。从安装是程序显示的权限要求,或用特殊的**审计工具抓包都可以发现这样的问题。
据搜狐科技了解,在各类Android市场或论坛中,多年前就普遍存在APK重打包做代码注入的事情,这种做法已经成为行业内的潜规则。赛门铁克旗下诺顿就曾推出一个演示视频,黑客或从业人员只需要几步,就可以在一个Android APK程序注入广告代码并发布到网上供人下载。
这位**专家表示,XCodeGhost确实有可能存在**风险,但业界对这个事件的反应有点过度。由于iOS系统发生**事件的情况较少,专业类漏洞难以炒作,这次XCodeGhost事件发生后,国内**厂商借势营销倾向很浓。另外,由于媒体从业人员使用苹果的比例较高且懂**的人较少,跟风的成分也很大。
这位**专家对搜狐科技称,业界厂商老是利用一些**事件吓唬用户,一有**威胁就建议用户改密码,xCodeGhost事件发生后,甚至还有人让用户注销信用卡来规避风险。乌云网创始人方小顿对搜狐科技表示,*终用户自身很难防御这个行业性事件。现在来看,xCodeGhost不会影响那些APP的用户名密码等信息。如果担心**问题,用户可以修改iCloud密码。
xCodeGhost事件折射软件开发流程管理不完善
RadioWar无线**团队创始人营智敏对搜狐科技表示,正规厂商使用非官方的开发套件,引发一连串的问题,说明在软件开发方面,大多数公司在流程管理方面存在很多不完善的地方。
营智敏表示,**厂商在分析xCodeGhost事件时,大多数只注重技术层面的问题,而忽视了管理方面的缺陷。与其说国内一些**厂商反应过大,还不如说根本就没有反应。如果开发团队都是用官方的套件,根本不会出现这样的问题。
营智敏称,不可信来源的开发套件本身在IT管理里面就是不允许的。这次事件影响到了国内很多互联网巨头公司,其内部IT**管理、代码复审等环节都出现了问题,说明在规范化方面这些公司还有很多需要改进的空间。如果从国家**的角度来讲,这次事件反映出的问题,需要引起业界足够的重视。
公安机关备案号:
