300多款iOS应用被植后门 安全厂商借势炒作

xCodeGhost事件仍然在持续发酵。

　　由于国内部分知名软件公司使用了第三方下载提供的修改版苹果xCode开发工具，导致经过这些版本开发并发行的iOS APP被植入后门。

　　xCodeGhost影响有多大？

　　9月19日早8点，360旗下涅槃团队扫描14.5万多个APP后得到的结果显示，有344款APP感染了XcodeGhost木马。其中包括百度音乐、微信、高德、 滴滴、花椒、58同城、网易云音乐、12306、同花顺、南方航空、工行融e联、重庆银行等用户量很广的APP，涉及互联网、金融、铁路航空、游戏等众多领域。

　　从涅槃团队披露的列表来看，拥有海量用户的BAT公司旗下应用均有中招。腾讯安全应急响应中心分析了76款被XCodeGhost感染的APP后认为，保守估计受这次事件影响的用户数超过一亿。

xCodeGhost到底是不是病毒？

　　于9月17日注册的微博用户XcodeGhost-Author发文表示对xCodeGhost负责。

　　在其发表的微博中，XcodeGhost-Author称，XcodeGhost源于其自己的实验，没有任何威胁性行为，只是一段已经“彻底死亡的代码”而已。作者称，在10天前其就将APP上传信息的服务器关闭并删除了收集的数据。XcodeGhost-Author同时在Github上公布了XcodeGhost的源代码，以便让第三方机构或个人验证其说法的真实性。

　　腾讯安全应急响应中心从技术角度分析了xCodeGhost的行为，将XcodeGhost归为“病毒”。根据腾讯安全应急响应中心的分析，受感染的iOS APP在启动、运行、退出时，会上报信息到黑客控制的服务器上。上报的信息包括：APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息，能精准地区分每一台iOS设备。

　　腾讯安全应急响应中心认为，黑客能够通过上报的信息区分每一台iOS设备，然后如同已经上线的肉鸡一般，随时随地给任何人下发指令，通过iOS openURL API，控制受感染的iPhone，完成打开网页、发短信、打电话等常规手机行为。xCodeGhost具备远程控制能力和自定义弹窗能力，而远程控制模块本身还存在漏洞，可被其它黑客利用进行中间人攻击。腾讯安全应急响应中心称，这个事件的危害其实被大大低估了。

　　360旗下涅槃团队在9月20日凌晨发布技术分析称，利用xCodeGhost恶意代码，可以做应用推广、伪造内购页面、通过远程控制，可以在用户手机上提示?相关弹窗信息等。

　　Android潜规则进入iOS引发炒作

　　一位上市网络安全公司要求匿名的安全专家对搜狐科技表示，尽管可能会存在被利用的安全漏洞，但没有充分的证据证明XCodeGhost就是一个病毒，充其量只是算是一个木马或后门。

　　这位安全专家表示，互联网软件中其实有很多软件都有后门。如果XCodeGhost是病毒的话，估计国内Android系统里跑的所有APP应用都是病毒了。几乎每个APP都会获取用户的手机串号等信息，理由是更好地做适配，为用户提供更好的交互体验。每个Android APP都会连网，向开发者指定的服务器传输一些机器甚至个人的信息。从安装是程序显示的权限要求，或用特殊的安全审计工具抓包都可以发现这样的问题。

　　据搜狐科技了解，在各类Android市场或论坛中，多年前就普遍存在APK重打包做代码注入的事情，这种做法已经成为行业内的潜规则。赛门铁克旗下诺顿就曾推出一个演示视频，黑客或从业人员只需要几步，就可以在一个Android APK程序注入广告代码并发布到网上供人下载。

　　这位安全专家表示，XCodeGhost确实有可能存在安全风险，但业界对这个事件的反应有点过度。由于iOS系统发生安全事件的情况较少，专业类漏洞难以炒作，这次XCodeGhost事件发生后，国内安全厂商借势营销倾向很浓。另外，由于媒体从业人员使用苹果的比例较高且懂安全的人较少，跟风的成分也很大。

　　这位安全专家对搜狐科技称，业界厂商老是利用一些安全事件吓唬用户，一有安全威胁就建议用户改密码，xCodeGhost事件发生后，甚至还有人让用户注销信用卡来规避风险。乌云网创始人方小顿对搜狐科技表示，最终用户自身很难防御这个行业性事件。现在来看，xCodeGhost不会影响那些APP的用户名密码等信息。如果担心安全问题，用户可以修改iCloud密码。

　xCodeGhost事件折射软件开发流程管理不完善

　　RadioWar无线安全团队创始人营智敏对搜狐科技表示，正规厂商使用非官方的开发套件，引发一连串的问题，说明在软件开发方面，大多数公司在流程管理方面存在很多不完善的地方。

　　营智敏表示，安全厂商在分析xCodeGhost事件时，大多数只注重技术层面的问题，而忽视了管理方面的缺陷。与其说国内一些安全厂商反应过大，还不如说根本就没有反应。如果开发团队都是用官方的套件，根本不会出现这样的问题。

　　营智敏称，不可信来源的开发套件本身在IT管理里面就是不允许的。这次事件影响到了国内很多互联网巨头公司，其内部IT安全管理、代码复审等环节都出现了问题，说明在规范化方面这些公司还有很多需要改进的空间。如果从国家安全的角度来讲，这次事件反映出的问题，需要引起业界足够的重视。（文/丁丁）