大量開發(fā)者帶“毒”開發(fā)App,“媽媽”都生病了,“孩子”還能幸免嗎?
■IT時報記者 章蔚瑋
最近,不少蘋果手機用戶都開始忙著刪除自己手機內的“中毒”應用,iOS系統(tǒng)變得不再安全的現(xiàn)實,引起了很多人的恐慌。而在整個事件中,iOS開發(fā)者從非蘋果官方渠道下載的xcode 開發(fā)器是導致大范圍App“中毒”的重要原因,真正需要恐慌的是,國內iOS開發(fā)者在安全操作規(guī)范上存在的“漏洞”。
事件回放
數(shù)億蘋果大面積中毒iOS首次遭遇安全危機
9月17日,國外安全公司 Paloalto發(fā)布了第一版關于XcodeGhost的分析報告,隨后阿里移動安全在國內緊跟著發(fā)布了相關報告,由此引發(fā)一場國內安全圈的“大地震”。據(jù)不完全統(tǒng)計,中國區(qū)App Store 商店中有接近百款常用軟件,包括微信、滴滴打車、12306、網易云音樂、高德地圖、中國聯(lián)通手機營業(yè)廳等覆蓋率極高的應用軟件被發(fā)現(xiàn)已注入這一惡意程序。至少對數(shù)億名 iOS 用戶的個人信息造成了威脅。
整個事件的起因是,由惡意開發(fā)者制作的帶有“后門”的 Xcode(由蘋果發(fā)布的iOS 和OS X開發(fā)器),并將其上傳到網絡,iOS 開發(fā)者通過非蘋果官方渠道下載了這些變異的 Xcode,進行軟件開發(fā),并上架到App Store。用戶將這些帶有惡意代碼的應用同時下載到自己手機中,最終導致了大范圍傳播。
這種惡意軟件程序目前被定名為XcodeGhost,其可怕之處在于無論蘋果手機是否越獄,所有可運行iOS軟件的 iPhone、iPad 和 iPod touch 都可感染。根據(jù)騰訊安全應急中心的分析報告,受感染的App在啟動、后臺、恢復、結束時,這一惡意程序都將上報信息至黑客控制的服務器,上報的信息包括:版本、名稱、本地語言、iOS版本、設備類型、國家碼等設備信息。不僅僅如此,在后臺,黑客能夠通過上報的信息區(qū)分每一臺iOS設備,使其變成“肉雞”(被黑客遠程控制的電腦、手機等),黑客可隨時隨地下發(fā)偽協(xié)議指令,不僅能在受感染的iPhone中完成打開網頁、發(fā)短信、打電話等常規(guī)手機行為,甚至還可以操作具備偽協(xié)議能力的大量第三方App。
黑客水平很高
應該與黑色產業(yè)鏈有關
事件爆發(fā)后,自稱是“XcodeGhost”始作俑者的新浪微博用戶@XcodeGhost-Author發(fā)布了一封道歉信,稱XcodeGhost源于他自己進行的一項實驗,獲取的全部數(shù)據(jù)實際為基本的App信息:應用名、應用版本號、系統(tǒng)版本號、語言、國家名、開發(fā)者符號、App安裝時間、設備名稱、設備類型,除此之外,沒有獲取任何其他數(shù)據(jù)。他承認,出于私心,其在代碼中加入了廣告功能,希望將來可以推廣自己的應用,但從開始到最終關閉服務器,并未使用過廣告功能。而在10天前,他已主動關閉服務器,并刪除所有數(shù)據(jù),更不會對任何人有任何影響。“XcodeGhost不會影響任何App的使用,更不會獲取隱私數(shù)據(jù),僅僅是一段已經死亡的代碼。”
但在安全界人士看來,進行這種黑客行為對制造者的技術水平要求很高,絕非一般人能夠所為,應該是有一個團隊在操盤,很可能是和黑色產業(yè)鏈有關系。安全界人士韓爭光認為,“這種黑客直接把木馬代碼嵌入了iOS開發(fā)工具源頭的攻擊方式在國內尚屬首次,而一旦這扇門開了,帶來的風險是不言而喻的。”
App開發(fā)環(huán)境中毒了
除了黑客的惡意攻擊,iOS開發(fā)者在整個事件中同樣難辭其咎。在多個國內安全實驗室給出的報告中都指出,XcodeGhost事件的罪魁禍首就是開發(fā)人員從非官方下載的Xcode,正是在這些變異的Xcode中找出了在官方版本中不存在的“系統(tǒng)組件”。
為什么國內開發(fā)者會棄官方版本不用而選用普遍意義上的“盜版”?在網絡上大部分開發(fā)者給出的解釋是,官方版本下載速度過慢,因此他們更愿意使用第三方下載渠道的Xcode。因為從最終的操作環(huán)境看,兩者之間幾乎沒有差異。
對此,《IT時報》記者采訪了數(shù)位iOS開發(fā)者后卻得出了不同的結論,“開發(fā)者說太慢可能是在找借口,”在一位來自廣州的iOS開發(fā)者看來,與iPhone用戶進入App Store的情形相同,下載Xcode偶爾的卡頓在所難免,“開發(fā)者進入Xcode有時候會很慢,尤其在網速很慢的情況下,下載或許會用到一兩個小時,但快的時候也就十幾分鐘。”
另一方面,企業(yè)對下載源的控制也幾乎是空白,導致在大環(huán)境上無從把控。一位素來習慣使用官方軟件的iOS開發(fā)者告訴《IT時報》記者,他此前應聘過一家IT公司,公司電腦上已經安裝了Xcode開發(fā)環(huán)境,盡管是非官方,但他覺得自己沒必要再重裝開發(fā)環(huán)境,“設想一下如此循環(huán),所有出自這家公司的軟件都有可能染上惡意病毒。”
開發(fā)者安全意識淡薄引擔憂
到目前為止,國內沒有任何一家企業(yè)IT安全管理對開發(fā)者的下載環(huán)境及程序進行明文要求,其中包括微信、網易云音樂這樣的大型開發(fā)團隊。但事實上,這并非無蹤跡可尋,在國內,盜版?zhèn)€人軟件早已成為木馬植入的重災區(qū),作為開發(fā)者不會全然沒有意識,“非官方下載的軟件廣告非常多,這點在第三方下載的Xcode中也存在同樣的情況。”
讓人更為恐懼的是,類似植入開發(fā)源的惡意程序,開發(fā)者若“失守”,蘋果官方也將很難審查,因為病毒文件藏得太深了。
事件發(fā)生后,不同平臺迅速修補了漏洞,并更新了新版本。但在國內開發(fā)者中,依然并不認為事件很嚴重,“沒什么影響啊,這個問題現(xiàn)在又沒有造成什么危害。”一個小型團隊的開發(fā)者說道。未來,至少大公司應該對開發(fā)工具的下載源進行嚴格控制了。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 360大模型:重新定義AGI,打破行業(yè)現(xiàn)狀
- 小米汽車與蔚來聯(lián)手破解充電難題:合作共贏,補能無憂
- 谷歌秘密探索:Claude模型助其Gemini AI升級,揭秘AI未來發(fā)展新路徑
- 辛巴病痛自述引淚奔,直播間真情流露
- 歐盟"有條件"批準巨額并購:Synopsys對Ansys的收購面臨挑戰(zhàn)
- 新能源車保費高?真實原因揭秘:拒保背后的秘密
- 三星折疊屏手機明年計劃縮減40%出貨量:折疊屏熱潮降溫?
- 華為新機遇:智能化助力華為超越西方高端品牌的機會,實現(xiàn)華麗轉身
- 折疊屏鼻祖柔宇折戟沉沙:二拍降價無競拍者,昔日輝煌成泡影
- 蘋果與英偉達恩怨糾葛:自主芯片戰(zhàn)略下的商業(yè)博弈
免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。