苹果IOS开发工具“中毒” 微信也中招了

苹果的Xcode开发工具被“李鬼”篡改编译后造成了也许是IOS历史上最严重的一次“病毒”危机。

由于苹果官方开发工具下载的繁琐，不少软件开发者都会通过第三方途径而非苹果官方下载Xcode，但如果不幸运的话，开发者也许会碰上一个所谓的“盗版”，更糟糕的是，这个盗版还存在着潜在的病毒。而在一周前，中国的很多开发者甚至是知名APP软件均受到了“病毒”入侵。

9月19日，腾讯安全应急响应中心发布信息称，12日在跟进一个bug时发现有App在启动、退出时会通过网络向某个域名发送异常的加密流量。经过一个周末加班的分析和追查，基本还原了感染方式、病毒行为、影响面。

而在昨日晚间9:43分，微信官方微博发布声明表示，网上传播微信6.2.5版本存在严重漏洞，目前最新版本微信已经解决此问题，用户可升级微信自行修复，目前尚没有发现用户会因此造成信息或者财产的直接损失，但是微信将持续关注和监测。

已有六十多款应用“中招”

“目前严重的危害无法确认，因为服务下线了，但是建议用户修改密码。”360网络攻防实验室负责人陆羽对第一财经客户端表示，目前"XcodeGhost"病毒已经“感染”了众多常用APP。

“拿文件看了一下，这个木马劫持了所有系统的弹窗(例如IAP支付)，然后向目标服务器发送了加密数据，目前还不知怎么解密发出去的请求。比方说，在中毒的应用中进行一次IAP(In-AppPurchase，智能移动终端应用程序付费的模式)内购，比如网易云音乐中的TaylorSwift音乐包，此时输入的密码或者TouchID后，就有加密数据发往目标服务器，现在不清楚加密信息是什么。因此，下载了中招应用的用户的密码都存在着泄露的危险。”四叶新媒体联合创始人微博用户Saic称。

早在9月14日，国家互联网应急中心(CNCERT)就已发布相关预警通报。

而目前中招的APP应用仍在不断扩大中，按照版本号定位的百度音乐(5.2.7.3–5.2.7)、穷游(6.4.1–6.4)、南方航空(2.6.5.0730–2.6.5)、天涯社区(2.1)、微信(6.2.5)等等应用均有涉及。

“微信技术团队具备成熟的“反黑客”技术，一旦发现黑客攻击，将第一时间做出技术对抗并及时锁定黑客具体信息，配合公安机关打击相关违法犯罪活动。”微信指出。

网易云音乐则公告称，“目前感染制作者的服务器已经关闭，不会再产生任何威胁”。

谁制造了病毒?

据了解，Xcode是运行在操作系统MacOSX上的集成开发工具(IDE)，由苹果公司开发，是开发OSX和iOS应用程序的最快捷最普遍的方式。

但在下载时，如果不是通过官方途径，很容易下载到“盗版”的Xcode，而这个盗版的Xcode则会向一个网站(http://init.icloud-analysis.com)上传用户数据，这个网站是病毒作者用来收集用户数据的，存在着潜在病毒名叫XcodeGhost。

有开发者在安全网站Wooyun上撰文称，即使把苹果官网上的下载URL复制到迅雷里下载，最终下载到的还是一个有毒的第三方Xcode开发工具，同理，另外从百度网盘上下载的Xcode编译器也中招了，目前来看，除了从苹果官方直接下载之外，任何第三方来源，甚至第三方下载渠道的Xcode工具都不能保证安全。

而在今天凌晨4:40分，一位自称是病毒制造者的人以@XcodeGhost-Author身份出现在微博上发表致歉以及澄清声明，表示XcodeGhost源于个人实验，没有任何威胁性行为，并公开了源码。

该人士表示，所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现：修改Xcode编译配置文本可以加载指定的代码文件，于是写下上述附件中的代码去尝试，并上传到自己的网盘中。在代码中获取的全部数据实际为基本的app信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型。除此之外，没有获取任何其他数据。

“需要郑重说明的是：出于私心，我在代码加入了广告功能，希望将来可以推广自己的应用。但实际上，从开始到最终关闭服务器，我并未使用过广告功能。而在10天前，我已主动关闭服务器，并删除所有数据，更不会对任何人有任何影响。”上述人士表示，所谓的"XcodeGhost"，以前是一次错误的实验，不会影响任何App的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。

陆羽对记者表示，因为该网站域名注册早在2015年2月25日，长期续一系列的隐藏和变换身份的操作，可能说明病毒制造者的行为是蓄意的。

没有“绝对”安全

事实上，这已经不是苹果产品第一次涉及“安全”事件，iOS此前曾被曝涉及多个“秘密后门”。

去年9月1日，众多美国大腕女星像詹妮弗·劳伦斯、凯特·厄本、爱莉安娜·格兰德以及维多利亚·嘉丝蒂等人的裸照接连曝光，有消息称原因是有黑客攻击了多个iCloud账号所致。目前仍不清楚黑客如何侵入iCloud存储服务获取劳伦斯、厄本以及其他名人的不雅照片，但iCloud的安全性遭到了舆论的广泛质疑。而就在同年8月中旬，苹果还针对中国用户的数据从国外转存至中国电信云存储发表声明称，云端服务商要加强数据中心的网络安全防护，及时修补漏洞，防止黑客入侵和撞库等盗号攻击。

“从收益来看，安全投入并不直接产生效益。一般手机厂商说要建数据中心，没有上千万很难达成，比如500台服务器，1台5万，就是2500万的成本，还有这个数据中心带来的带宽费用以及流量等都是要考虑的因素。”酷派负责安全业务的相关负责人对记者表示。

“事实上，在大数据时代，保护自己的隐私并不容易，黑客只要愿意，可能会攻破任何他想攻破的东西，只是时间问题。”上述酷派负责人认为，数据到云端的传输过程，密码传到服务器的过程以及云端存储的过程都有可能遭受到黑客的入侵。

陆羽对记者表示，建议用户立即修改AppleID密码，以将损失的可能性降低。

附360网络攻防实验室确认的应用及具体版本号如下：

开眼1.8.0

联通手机营业厅3.2

妈妈圈5.3.0

南方航空2.6.5.0730–2.6.5

南京银行3.6–3.0.4

逆转三国5.80.5–5.80

穷游6.4.1

穷游6.4.1–6.4

三国名将4.5.0.1–4.5.1

天使房贷5.3.0.2–5.3.0

天涯社区5.1.0

铁路123062.1

同花顺9.60.01

同花顺9.26.03

图钉7.7.2

网易公开课4.2.8

网易云音乐2.8.3

网易云音乐2.8.1

微信6.2.5

我叫MT4.6.2

我叫MT21.8.5

下厨房4.3.2

下厨房4.3.1

造梦西游OL4.6.0

诊疗助手7.2.3

自由之战1.0.9

卷皮3.3.1

简书2.9.1

股票雷达5.6.1–5.6

高德地图7.3.8.1040–7.3.8

高德地图7.3.8.2037

夫妻床头话2.0.1

动卡空间3.4.4.1–3.4.4

电话归属地助手3.6.3

滴滴打车3.9.7.1–3.9.7

滴滴出行4.0.0

炒股公开课3.10.02–3.10.01

百度音乐5.2.7.3–5.2.7

YaYa药师1.1.1

YaYa6.4.3–6.4

WO+创富2.0.6–2.0.4

WallpaperFlip1.8

VGO视信1.6.0

UME电影票2.9.4

UA电影票2.9.2

Theme2.4–2.4

Theme2.4.2–2.4

Phone+3.3.6

Perfect3654.6.16

OPlayerLite21051–2105

MTP管理微学1.0.0–2.0.1

MailAttach2.3.2–2.3

JewelsQuest23.39

HowOldDoILook?HowOldAmI?-FaceAgeCamera3.6.7

H3C易查通2.3–2.2

DigitGod2.0.4–2.0

CuteCUT1.7

CarrotFantasy1.7.0.1–1.7.0

CamCard6.3.2.9095–6.3.2

Albums2.9.2

AA记账1.8.7–1.8

51卡保险箱5.0.1

2345浏览器4.0.1