数亿苹果用户中毒引恐慌:一场本可以避免的悲剧

　　大量开发者带“毒”开发App，“妈妈”都生病了，“孩子”还能幸免吗？

　　最近，不少苹果手机用户都开始忙着删除自己手机内的“中毒”应用，iOS系统变得不再安全的现实，引起了很多人的恐慌。而在整个事件中，iOS 开发者从非苹果官方渠道下载的xcode 开发器是导致大范围App“中毒”的重要原因，真正需要恐慌的是，国内iOS开发者在安全操作规范上存在的“漏洞”。

　　事件回放

　　数亿苹果大面积中毒iOS首次遭遇安全危机

　　9月17日，国外安全公司 Paloalto发布了第一版关于XcodeGhost的分析报告，随后阿里移动安全在国内紧跟着发布了相关报告，由此引发一场国内安全圈的“大地震”。据不完全统计，中国区App Store 商店中有接近百款常用软件，包括微信、滴滴打车、12306、网易云音乐、高德地图、中国联通手机营业厅等覆盖率极高的应用软件被发现已注入这一恶意程序。至少对数亿名 iOS 用户的个人信息造成了威胁。

　　整个事件的起因是，由恶意开发者制作的带有“后门”的 Xcode（由苹果发布的iOS 和OS X开发器），并将其上传到网络，iOS 开发者通过非苹果官方渠道下载了这些变异的 Xcode，进行软件开发，并上架到App Store。用户将这些带有恶意代码的应用同时下载到自己手机中，最终导致了大范围传播。

　　这种恶意软件程序目前被定名为XcodeGhost，其可怕之处在于无论苹果手机是否越狱，所有可运行iOS软件的 iPhone、iPad 和 iPod touch 都可感染。根据腾讯安全应急中心的分析报告，受感染的App在启动、后台、恢复、结束时，这一恶意程序都将上报信息至黑客控制的服务器，上报的信息包括：版本、名称、本地语言、iOS版本、设备类型、国家码等设备信息。不仅仅如此，在后台，黑客能够通过上报的信息区分每一台iOS设备，使其变成“肉鸡” （被黑客远程控制的电脑、手机等），黑客可随时随地下发伪协议指令，不仅能在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方App。

　　黑客水平很高

　　应该与黑色产业链有关

　　事件爆发后，自称是“XcodeGhost”始作俑者的新浪微博用户@XcodeGhost-Author发布了一封道歉信，称 XcodeGhost源于他自己进行的一项实验，获取的全部数据实际为基本的App信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、 App安装时间、设备名称、设备类型，除此之外，没有获取任何其他数据。他承认，出于私心，其在代码中加入了广告功能，希望将来可以推广自己的应用，但从开始到最终关闭服务器，并未使用过广告功能。而在10天前，他已主动关闭服务器，并删除所有数据，更不会对任何人有任何影响。“XcodeGhost不会影响任何App的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。”

　　但在安全界人士看来，进行这种黑客行为对制造者的技术水平要求很高，绝非一般人能够所为，应该是有一个团队在操盘，很可能是和黑色产业链有关系。安全界人士韩争光认为，“这种黑客直接把木马代码嵌入了iOS开发工具源头的攻击方式在国内尚属首次，而一旦这扇门开了，带来的风险是不言而喻的。”

　　App开发环境中毒了

　　除了黑客的恶意攻击，iOS开发者在整个事件中同样难辞其咎。在多个国内安全实验室给出的报告中都指出，XcodeGhost事件的罪魁祸首就是开发人员从非官方下载的Xcode，正是在这些变异的Xcode中找出了在官方版本中不存在的“系统组件”。

　　为什么国内开发者会弃官方版本不用而选用普遍意义上的“盗版”？在网络上大部分开发者给出的解释是，官方版本下载速度过慢，因此他们更愿意使用第三方下载渠道的Xcode。因为从最终的操作环境看，两者之间几乎没有差异。

　　对此，《IT时报》记者采访了数位iOS开发者后却得出了不同的结论，“开发者说太慢可能是在找借口，”在一位来自广州的iOS开发者看来，与 iPhone用户进入App Store的情形相同，下载Xcode偶尔的卡顿在所难免，“开发者进入Xcode有时候会很慢，尤其在网速很慢的情况下，下载或许会用到一两个小时，但快的时候也就十几分钟。”

　　另一方面，企业对下载源的控制也几乎是空白，导致在大环境上无从把控。一位素来习惯使用官方软件的iOS开发者告诉《IT时报》记者，他此前应聘过一家IT公司，公司电脑上已经安装了Xcode开发环境，尽管是非官方，但他觉得自己没必要再重装开发环境，“设想一下如此循环，所有出自这家公司的软件都有可能染上恶意病毒。”

　　开发者安全意识淡薄引担忧

　　到目前为止，国内没有任何一家企业IT安全管理对开发者的下载环境及程序进行明文要求，其中包括微信、网易云音乐这样的大型开发团队。但事实上，这并非无踪迹可寻，在国内，盗版个人软件早已成为木马植入的重灾区，作为开发者不会全然没有意识，“非官方下载的软件广告非常多，这点在第三方下载的 Xcode中也存在同样的情况。”

　　让人更为恐惧的是，类似植入开发源的恶意程序，开发者若“失守”，苹果官方也将很难审查，因为病毒文件藏得太深了。

　　事件发生后，不同平台迅速修补了漏洞，并更新了新版本。但在国内开发者中，依然并不认为事件很严重，“没什么影响啊，这个问题现在又没有造成什么危害。”一个小型团队的开发者说道。未来，至少大公司应该对开发工具的下载源进行严格控制了。