App Store遭病毒入侵 網易云音樂等中招

　　9月18日互聯網新聞最新報道，據烏云網和硅谷安全公司Palo Alto發布安全預警稱，在App Store上架的網易云音樂等多個應用被注入Xcode第三方惡意代碼，會將用戶信息發送到病毒作者服務器。

　　烏云網稱，開發者用了非官方渠道下載的Xcode編譯工具，導致所開發的應用被注入了第三方代碼，會主動向一個網站上傳應用和系統的基本信息。網易云音樂最新版v2.8.3已經感染病毒。

　　iOS應用開發者告訴騰訊科技，Xcode是蘋果官方開發工具，但有“黑產”會提供第三方下載源，并以“官網下載繁忙”吸引開發者從其提供的渠道下載。通常被植入惡意插件的工具會偽裝成官方版本。

　　Twitter用戶@fannheyward 爆料稱，受影響的除了網易云音樂外，還包括12306、中信銀行動卡空間等應用。@fannheyward 為愛微創想的iOS開發主管。

　　目前，第三方惡意代碼所指向的惡意網站init.icloud-analysis.com已關閉，據了解該域名為病毒作者申請，用于收集數據信息。

　　獵豹移動安全專家李鐵軍告訴騰訊科技，這是對開發工具改造造成的危機。由于該病毒會收集包括時間，bundle id(包名)，應用名稱，系統版本，語言，國家等，并上傳，所以在某種程度上會泄露隱私。

　　不過，由于蘋果本身權限限制比較嚴格，這類信息的泄露相對來說，威脅并不嚴重，而且用戶不用過分擔心帳號安全。

　　李鐵軍表示，目前唯一解決問題的方式是，只能等待開發者重新發新的安裝包替換。對用戶來說可以選擇卸載應用，或者等待升級更新。

　　對于為什么會對Xcode植入惡意代碼，李鐵軍表示，“黑產”希望通過收集用戶信息，以便廣告投放，后者存在利益空間。由于蘋果限制比較多、審查比較嚴格，常用模式無法運行，因此只能從開發環節突破。盡管是有限的個人信息，但仍然有商業價值。所謂黑產，就是指靠收集個人信息，出售個人信息牟利的一群人。

　　【更新】

　　18日下午15時，網易云音樂通過社交網絡發布公告稱，目前感染制作者的服務器已關閉，不會產生任何威脅。

　　公告解釋稱，受非官方渠道開發工具XcodeGhost“感染”影響，iPhone端部分應用會上傳產品自身的部分基本信息。此次感染設計信息皆為產品的系統信息，無法調取和泄露用戶的個人信息。

　　不過，對是否后續通過更換下載包解決問題，網易云音樂并未做出正面回應。網易公關負責人表示，以公告內容為準。

　　以下為烏云網發布的安全預警報告：

　　不可信下載源Xcode包含惡意代碼預警（已有企業APP發布受到影響）

　　9月17日上午，微博用戶@JoeyBlue_ 曝光稱，有開發者用了非官方渠道下載的Xcode編譯出來的應用被注入了第三方的代碼，會向一個網站上傳數據。目前已知兩個知名應用被注入。

　　烏云知識庫作者蒸米對注入的病毒樣本“XcodeGhost“進行分析，確認了上述說法。經分析，該病毒會收集應用和系統的基本信息，包括時間、bundle id(包名)、應用名稱、系統版本、語言、國家等，并上傳到init.icloud-analysis.com（該域名為病毒作者申請，用于收集數據信息）。

樣本文件中發現用以收集信息的函數

　　18日上午，硅谷安全公司Palo Alto跟蹤事件后發現國內知名應用網易云音樂中招，當前App Store上架的網易云音樂最新版v2.8.3已經感染病毒，會將手機隱私信息上傳至病毒作者的服務器上（Palo Alto還發現存在更多收集數據的域名）。

　　烏云建議，使用非官方渠道下載Xcode的iOS開發者請立刻展開自查，并對受影響版本進行處理。我們也會持續關注事件進展。

　　附檢查方法：

　　惡意Xcode包含有如下文件“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”；正常的Xcode的SDK目錄下沒有Library目錄（來自@JoeyBlue_）

　　其次，還應該檢測一下Target->Build Setting->Search Paths->Framework Search Paths的設置，看看是否有可疑的frameworks混雜其中。