苹果数款App中毒 近百款应用被迫更新或下架

“苹果会中毒吗？”以往，这个问题的答案一般都是：“不越狱，不中毒”。然而，上周末，一个元凶叫做XcodeGhost的木马，却打破了这个“常识”。阿里巴巴移动安全专家、腾讯安全应急响应中心、360、猎豹等多家安全平台发出警报，包括微信、滴滴出行、12306、高德地图、网易云音乐等近百家大众常用应用都中招，初步估计受影响手机超过1亿部。目前，多家中毒应用或已升级版本或被苹果官方及时下架，看似尚未造成重大用户隐私泄漏事件。那么，这次被业内视为“2015中国移动互联网第一大案”的事件，到底是如何发生的呢？

百个不同版本应用“危险”

实际上，国家互联网应急中心9月14日已经发布“关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报”；9月17日，乌云网和硅谷安全公司PaloAlto发布安全预警提醒开发者小心，并指出XCodeGhost虽然没有非常严重的恶意行为，但是这种病毒传播方式在iOS上还是首次。9月18日，“XCodeGhost”事件通过社交网络引发讨论，让不少“果粉”开始恐慌。据盘古团队紧急开发的一款Xcode病毒检测工具发现，截至目前检测出有问题的不同版本应用超过800个。

已知有哪些常用APP这次“中招”？从不同安全平台的信息来源统计，赫然在列的包括：微信（版本6.2.5）、网易云音乐（版本2.8.3）、滴滴出行（版本4.0.06）、12306（版本2.12）、中国联通手机营业厅（版本3.2）、高德地图（版本7.3.8）、同花顺（版本9.26.03）、喜马拉雅（版本4.3.8）、愤怒的小鸟2（版本2.1.1）、天涯社区（版本5.1.0）、中信银行动卡空间等(版本3.3.12)……

“程序猿”不规范操作中枪

理论上“固若金汤”的iOS系统，这次为何会如此大面积“受灾”？其实，Xcode是由苹果公司开发的运行在操作系统MacOSX上的集成开发工具（IDE），是目前开发MacOS和iOS应用程序的最快捷最普遍的方式。理论上苹果系统还是比安卓系统要安全的多，但据多方分析报告称，此次问题关键不是出在苹果的官方系统出了漏洞，而是有些“程序猿”使用了非官方的第三方Xcode编译器，殊不知经由这些编译器编写的APP存在安全问题——当它们上传到AppStore被用户下载安装后，就会偷偷上传软件包名、应用名、系统版本、语言、国家等基本信息。

昨天，已有自称是XcodeGhost作者的致歉。该作者“所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现”，并强调“在代码中获取的全部数据实际为基本的app信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型。除此之外，没有获取任何其他数据……且已于10天前主动关闭服务器，并删除了所有数据。”

3版本更新升级后能“祛毒”

安全专家指出，无论是使用黑苹果（非苹果机上安装的破解版OSX系统）开发，还是使用第三方下载的Xcode，都属于不规范的开发流程。虽然XcodeGhost相关域名已经不可访问，XcodeGhost的始作俑者承诺也不会再利用其干坏事，但这并不代表其他人不会。因为从病毒样本的分析看，这些泄露信息虽然并不涉及太多的隐私问题，但却它们在iPhone/iPad上弹出钓鱼网站页面，也可能骗取iCloud帐号密码，或者其他关键信息。

据悉，目前有多名开发者透露，他们在应用被感染24小时内已经收到了来自苹果的下架通知。同时，苹果还说明了重新上架的条件：首先开发者需要通过官方渠道下架XcodeGhost感染的软件，然后再对软件进行重新编译，最后是提交软件等待审核。而据记者比照发现，截至发稿时，微信、网易云音乐、高德等均已率先进行了版本修复。这说明，苹果在此次危机的处理上还算及时有力。但对于开发者或用户而言却敲了警钟——下载不明来源的软件和固件终究还是危险的。

记者 胡晓晶

>>>友情提醒

1.基于安全的考虑，最好对涉及到的密码、支付方式等进行修改。

2.为确保安全，用户也可以选择暂时卸载那些受影响软件。保险起见，修改AppleID密码，iCloud账户密码。

3.对于中招软件，稳妥起见暂时不要打开，静待更新，比如目前微信、网易云音乐、高德等均已率先进行了版本修复，用户升级到新版即可。

4.再次建议iPhone/iPad用户不要越狱，只从官方市场下载软件。当有人试图套取你的iCloud账户密码或者其他重要账户密码、手机验证码时，必须谨慎对待。