iPhone应用感染病毒 网易云音乐中招

20.09.2015  12:22
今日,有网友在微博上爆出,iOS数款应用“中招”恶意代码,可能致使用户信息泄露。

  今日,有网友在微博上爆出,iOS数款应用“中招”恶意代码,可能致使用户信息泄露。虽然此前苹果系统已多次爆出隐私泄露等安全问题,但此次中国用户受影响规模之大实属首次,以安全性著称等苹果系统再次引人质疑。

   恶意代码运行流程

  已被证实“中招”的iOS 版网易云音乐、滴滴打车等应用因使用非官方渠道下载的Xcode开发环境,致使应用“感染”恶意代码XcodeGhost。感染后,应用会自动收集并发送信息至远端服务器 init.icloud-analysis.com。

  恶意软件作者把嵌入恶意代码的Xcode上传到第三方站点,并进行诱导性推广。苹果应用开发者从第三方下载Xcode后,使用这个已注入恶意扩展代码的开发环境进行开发,编译生成的IOS应用天然带毒,全成了内置间谍功能的“正常”软件,被植入恶意程序的应用可以在App Store正常下载并安装使用,开发者和用户都浑然不觉。

  附注:上图来自底层逻辑的好朋友王小瑞

   已被注入恶意代码的App

  目前经网友分析,至少有新版网易云音乐、中信银行动卡空间、12306、高德地图、中国联通手机营业厅、简书、开眼、网易公开课和滴滴打车等应用被注入 XcodeGhost 代码。

   对用户的影响

  虽然网易云音乐已回应称“应用只上传系统信息,不涉及用户信息。”但安全专业人士警告:不能排除受感染应用的使用风险。对普通用户而言,这段时间不要用这些App进行支付和订单有关的操作,可以更改iCloud、支付宝等支付密码。如果完全不放心先删除掉这些App直到下次应用更新。

   APP开发管理流程不规范或执行不严导致应用被“感染

  无论是使用黑苹果(非苹果机上安装的破解版OS X系统)开发,还是使用第三方下载的Xcode,都属于不规范的开发流程。同一公司同一开发环境输出的其他App似乎很难避免不受影响,“中招”应用可能远远不止现在已被发现并报告的若干个案。

   事件时间线梳理

  实际上,国家互联网应急中心9月14日已经发布“关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报”;9月17日,乌云网和硅谷安全公司Palo Alto发布安全预警提醒开发者小心,并指出XCodeGhost虽然没有非常严重的恶意行为,但是这种病毒传播方式在iOS上还是首次。9月18日,“XCodeGhost”事件通过Twitter、微博引发讨论,苹果用户开始恐慌。

  而按照苹果App正常审核至少需要1周的时间估算,这次XcodeGhost的问题可能9月初就已经出现。