福彩快三

計算機科學

首頁 > 計算機科學

XcodeGhost風波

2018-09-11 08:58:53     所屬分類:網絡安全

XcodeGhost風波,為大陸地區App Store中的部分iOS應用程序被稱為“XCodeGhost”的第三方惡意代碼注入,而產生了一系列的問題,包括可能的隱私泄漏、廣告點擊。

因為屬于開發者端的程序污染,所以即便是未越獄的iOS用戶從蘋果官方App Store下載應用也可能存在風險。

根據斯諾登(Edward Snowden)揭露文件,該手法于2012年,美國中情局(CIA)已有相關能力,即透過偽冒Xcode,用來監控所有使用該偽冒開發工具所開發的App及后續的修改版本,而這套偽冒開發工具所開發的App,可以在蘋果公司的官方App Store上架并販售,且不會被任何人員發覺有異常之處。[1]

目錄

  • 1 事件發展
    • 1.1 XcodeGhost植入
    • 1.2 爆發
    • 1.3 當事人陳述
    • 1.4 應急處理
  • 2 受感染應用
  • 3 影響
  • 4 原因
  • 5 參見
  • 6 參考資料
  • 7 外部鏈接

事件發展

XcodeGhost植入

福彩快三Xcode為蘋果公司所發行、供程序員開發OS X、iOS、watchOS與tvOS應用程序的集成開發環境(IDE),在Mac App Store中免費提供。由于網絡審查導致大陸用戶訪問Mac App Store有連接困難,部分開發者出于方便選擇了國內第三方渠道下載(如百度云盤、迅雷離線等)或者從社交平臺查找獲得開發程序,由此帶來了安全隱患。

而這部分Xcode的框架庫中被加入了被稱為“XcodeGhost”的框架庫,導致其編譯出來的App都帶有后門代碼,會在最終客戶端運行時將隱私信息提交給第三方。[2]

爆發

根據已經披露的文檔,騰訊安全應急響應中心在跟蹤某app的bug時發現異常流量,解析后上報了國家互聯網應急中心(CNCERT)[2],后者隨即在2015年9月14日發布了預警消息[3]福彩快三。之后也有國外信息安全組織跟進調查。

在2015年9月17日左右,新浪微博用戶 @唐巧_boy 發布微博聲稱Xcode有可能被第三方代碼注入,而在社交平臺上引起軒然大波。烏云網后續發布相關的知識庫文章[4]

當事人陳述

2015年9月19日凌晨4時許,新浪微博上出現一名“XcodeGhost-Author”的新用戶發布一條微博消息,聲稱XcodeGhost只是一個實驗性質項目;隨后該項目的GitHub頁面也刊載了一致的聲明[5]

應急處理

蘋果方面雖然事前缺乏對程序的安全審核,但是事件發生后火速對感染惡意代碼的app進行了下架[6]

福彩快三部分大陸地區開發商的App因此受到影響,因此對其受污染的App使用正規渠道下載的Xcode進行編譯后重新上線。

受感染應用

受到影響的app程序眾多,據稱受感染的app多達76個[7],而記載著app名單的截圖應該來自“360安全播報平臺”,其將在2015年9月19日更新的消息中將受XcodeGhost感染的app數量上調為344款[8];而截至2015年9月20日下午的通報,受感染app數量為1078款[8]

知名度較高的部分app如:微信、網易云音樂、滴滴打車、高德地圖、12306、同花順、中信銀行動卡空間、簡書等。涉及包括即時通訊軟件、地圖應用甚至金融服務產品。

蘋果公司對此事進行了公開聲明[9],并對于部分感染app進行了下架處理[6];從2015年9月20日開始,部分下架程序重新編譯后上架,但各廠商對此態度不同,微信的版本更新中并未說明原因,而網易云音樂則注明為“修復XcodeGhost問題”[10]

影響

事件相關
  • 官方媒體的中央電視臺報道了該事件[11],且在節目中援引專家說法,對所謂作者的無害聲明進行質疑。
  • 安全網站如烏云、騰訊安全中心,自媒體月光博客等也在該事件中作為信息發布平臺提供支持。
  • 雖然蘋果公司發布了聲明并對感染應用做了下架處理[9],然而風險仍然存在,即如果用戶下載了受感染應用而沒有更新,惡意代碼仍然有被運行風險。蘋果對此也并沒有對所有用戶發布推送性質的通告。
  • 騰訊科技在2015年9月21日發表了署名“梁辰”的相關評論文章[12],箭頭直指蘋果的安全防御機制,解釋相關黑色產業鏈的存在;然而最后段落中,對于開發者不恰當使用第三方渠道下載XCode工具采用了避重就輕的批評。結合本次受災的微信(iOS,6.2.5版[13][9],不免令人對其立場產生懷疑。此外,文中錯誤指稱 肯·湯普遜言及‘編譯Unix代碼的C器里留有“后門”’,事實為Ken在其論文《Reflections on Trusting Trust》中闡述的若不校驗基于信任的信任,那么編譯器出現問題時則會影響全局安全性[14],與本次事件有相似度。
安全問題外延
  • 有人在查找相應的發布源時發現其也有發布帶有后門框架的知名游戲開發框架Unity第三方發布源,懷疑Unity也有類似的影響。[15]而Unity的開發商則發布聲明自查官方版本沒問題并要求開發者從官方途徑下載開發程序。[16]
  • 在2015年9月22日,雖然XcodeGhost作者聲明已關閉服務器,然而有安全從業人員表示仍然有安全隱患,潛在攻擊者可以通過域名解析污染等手段偽裝獲得敏感數據,這類手法被命名為截胡攻擊(“截胡”為麻將術語)[17]

原因

  • 因為防火長城的存在,大陸訪問一些境外網站存在限制,例如程序開發重要的GitHub一度在大陸遭到封禁,而蘋果公司的App Store等服務在大陸也有訪問緩慢的問題。部分開發者選擇了從非正規的第三方渠道下載包,這為惡意軟件開發者散布惡意代碼提供可乘之機,通過在大陸地區各大蘋果開發社交網站散布自己帶有后門框架的Xcode來誘使開發人員使用,從而埋下隱患。[來源請求]
  • XcodeGhost作者聲稱這是一個實驗性項目[18],然而有專家[誰?]對此說法表示質疑,其在事前的針對性SEO,后門代碼所能產生的更大的劫持能力,以及架設在亞馬遜云上的流量費用遠超出其所聲稱的個人能力。

參見

  • iOS應用程序審核
  • Xcode(蘋果開發包)
  • 防火長城(大陸訪問境外網站受限的阻擋)
  • 僵尸網絡
  • 2014年8月名人照片泄露事件(曾經發生的iCloud泄露事件)

參考資料

  1. ^ 黃彥棻. XcodeGhost風暴事件大剖析. 電周文化事業. 2015-10-13. 
  2. ^ 2.0 2.1 Gmxp. 你以為這就是全部了?我們來告訴你完整的XCodeGhost事件. 騰訊安全應急響應中心. 2015-09-19 [2018-08-06]. (原始內容存檔于2018-08-06) (中文(簡體)?). 
  3. ^ 關于使用非蘋果官方XCODE存在植入惡意代碼情況的預警通報. 國家互聯網應急中心. 2015-09-14 [2018-07-06]. (原始內容存檔于2018-08-06) (中文(簡體)?). 
  4. ^ XCode編譯器里有鬼 – XCodeGhost樣本分析. 烏云. 2015-09-17. (原始內容存檔于2015-09-20) (中文(簡體)?). 
  5. ^ XcodeGhost GitHub上的XcodeGhost項目
  6. ^ 6.0 6.1 蘋果App Store火線下架遭感染的軟件 — cnbeta
  7. ^ 蘋果App被置病毒全部名單 不是只有20多個而是76個 — techweb
  8. ^ 8.0 8.1 已知有后門的iOS App — 360安全播報平臺
  9. ^ 9.0 9.1 9.2 Apple. 有關 XcodeGhost 的問題和解答. 蘋果公司官方網站. [2015-09-27] (簡體中文、英文). 
  10. ^ 網易云音樂 — iTunes
  11. ^ 蘋果手機多款應用程序現“后門” — cntv
  12. ^ 《蘋果遭遇信任危機:蘋果APP也會被黑》 - 騰訊科技
  13. ^ 騰訊:iOS版微信有Bug 快升級 - 驅動之家
  14. ^ Thompson, Ken. Reflections on Trusting Trust. Communications of the ACM. August 1984, 27 (8): 761–763. doi:10.1145/358198.358210. (原始內容存檔于2012-05-25). 
  15. ^ 不止Xcode,網曝游戲開發工具Unity4.X被植入惡意代碼 - XcodeGhost,Xcode,病毒 - IT之家. 
  16. ^ Unity和cocos 2d-x回應XcodeGhost污染_國內動態 - 07073產業頻道. 
  17. ^ 你以為服務器關了這事就結束了? - XcodeGhost截胡攻擊和服務端的復現,以及UnityGhost預警 - 烏云
  18. ^ XcodeGhost

外部鏈接

  • GitHub上的XcodeGhost頁面
  • Greatfire組織:流行的iOS應用遭到前所未有的惡意軟件感染(簡體中文)
  • 關于使用非蘋果官方XCODE存在植入惡意代碼情況的預警通報 國家互聯網應急中心 2015-09-14
  • 你以為這就是全部了?我們來告訴你完整的XCodeGhost事件 — 騰訊安全應急響應中心
  • 《針對此次XcodeGhost攻擊行為的分析》
  • Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store 安全公司 Paloalto networks 的分析報告(英文)
  • Solidot:報道稱XcodeGhost開發者已被控制(簡體中文)

福彩快三感謝您的支持,我會繼續努力的!

掃碼支持
1分,2分不嫌少,錢不錢的無所謂,重要的是你的話語激勵我前行!

愿你每天溫暖如春!!!

顯示全文

取消

感謝您的支持,我會繼續努力的!

掃碼支持
無需打賞可直接關閉閱讀全文
1分,2分不嫌少,錢不錢的無所謂,重要的是你的話語激勵我前行!

福彩快三愿你每天溫暖如春!!!


上一篇:strongSwan
下一篇:Openswan
相關推薦