300多款iOS應用被植后門 安全廠商借勢炒作

xCodeGhost事件仍然在持續發酵。

　　由于國內部分知名軟件公司使用了第三方下載提供的修改版蘋果xCode開發工具，導致經過這些版本開發并發行的iOS APP被植入后門。

　　xCodeGhost影響有多大？

　　9月19日早8點，360旗下涅槃團隊掃描14.5萬多個APP后得到的結果顯示，有344款APP感染了XcodeGhost木馬。其中包括百度音樂、微信、高德、 滴滴、花椒、58同城、網易云音樂、12306、同花順、南方航空、工行融e聯、重慶銀行等用戶量很廣的APP，涉及互聯網、金融、鐵路航空、游戲等眾多領域。

　　從涅槃團隊披露的列表來看，擁有海量用戶的BAT公司旗下應用均有中招。騰訊安全應急響應中心分析了76款被XCodeGhost感染的APP后認為，保守估計受這次事件影響的用戶數超過一億。

xCodeGhost到底是不是病毒？

　　于9月17日注冊的微博用戶XcodeGhost-Author發文表示對xCodeGhost負責。

　　在其發表的微博中，XcodeGhost-Author稱，XcodeGhost源于其自己的實驗，沒有任何威脅性行為，只是一段已經“徹底死亡的代碼”而已。作者稱，在10天前其就將APP上傳信息的服務器關閉并刪除了收集的數據。XcodeGhost-Author同時在Github上公布了XcodeGhost的源代碼，以便讓第三方機構或個人驗證其說法的真實性。

　　騰訊安全應急響應中心從技術角度分析了xCodeGhost的行為，將XcodeGhost歸為“病毒”。根據騰訊安全應急響應中心的分析，受感染的iOS APP在啟動、運行、退出時，會上報信息到黑客控制的服務器上。上報的信息包括：APP版本、APP名稱、本地語言、iOS版本、設備類型、國家碼等設備信息，能精準地區分每一臺iOS設備。

　　騰訊安全應急響應中心認為，黑客能夠通過上報的信息區分每一臺iOS設備，然后如同已經上線的肉雞一般，隨時隨地給任何人下發指令，通過iOS openURL API，控制受感染的iPhone，完成打開網頁、發短信、打電話等常規手機行為。xCodeGhost具備遠程控制能力和自定義彈窗能力，而遠程控制模塊本身還存在漏洞，可被其它黑客利用進行中間人攻擊。騰訊安全應急響應中心稱，這個事件的危害其實被大大低估了。

　　360旗下涅槃團隊在9月20日凌晨發布技術分析稱，利用xCodeGhost惡意代碼，可以做應用推廣、偽造內購頁面、通過遠程控制，可以在用戶手機上提示?相關彈窗信息等。

　　Android潛規則進入iOS引發炒作

　　一位上市網絡安全公司要求匿名的安全專家對搜狐科技表示，盡管可能會存在被利用的安全漏洞，但沒有充分的證據證明XCodeGhost就是一個病毒，充其量只是算是一個木馬或后門。

　　這位安全專家表示，互聯網軟件中其實有很多軟件都有后門。如果XCodeGhost是病毒的話，估計國內Android系統里跑的所有APP應用都是病毒了。幾乎每個APP都會獲取用戶的手機串號等信息，理由是更好地做適配，為用戶提供更好的交互體驗。每個Android APP都會連網，向開發者指定的服務器傳輸一些機器甚至個人的信息。從安裝是程序顯示的權限要求，或用特殊的安全審計工具抓包都可以發現這樣的問題。

　　據搜狐科技了解，在各類Android市場或論壇中，多年前就普遍存在APK重打包做代碼注入的事情，這種做法已經成為行業內的潛規則。賽門鐵克旗下諾頓就曾推出一個演示視頻，黑客或從業人員只需要幾步，就可以在一個Android APK程序注入廣告代碼并發布到網上供人下載。

　　這位安全專家表示，XCodeGhost確實有可能存在安全風險，但業界對這個事件的反應有點過度。由于iOS系統發生安全事件的情況較少，專業類漏洞難以炒作，這次XCodeGhost事件發生后，國內安全廠商借勢營銷傾向很濃。另外，由于媒體從業人員使用蘋果的比例較高且懂安全的人較少，跟風的成分也很大。

　　這位安全專家對搜狐科技稱，業界廠商老是利用一些安全事件嚇唬用戶，一有安全威脅就建議用戶改密碼，xCodeGhost事件發生后，甚至還有人讓用戶注銷信用卡來規避風險。烏云網創始人方小頓對搜狐科技表示，最終用戶自身很難防御這個行業性事件?，F在來看，xCodeGhost不會影響那些APP的用戶名密碼等信息。如果擔心安全問題，用戶可以修改iCloud密碼。

　xCodeGhost事件折射軟件開發流程管理不完善

　　RadioWar無線安全團隊創始人營智敏對搜狐科技表示，正規廠商使用非官方的開發套件，引發一連串的問題，說明在軟件開發方面，大多數公司在流程管理方面存在很多不完善的地方。

　　營智敏表示，安全廠商在分析xCodeGhost事件時，大多數只注重技術層面的問題，而忽視了管理方面的缺陷。與其說國內一些安全廠商反應過大，還不如說根本就沒有反應。如果開發團隊都是用官方的套件，根本不會出現這樣的問題。

　　營智敏稱，不可信來源的開發套件本身在IT管理里面就是不允許的。這次事件影響到了國內很多互聯網巨頭公司，其內部IT安全管理、代碼復審等環節都出現了問題，說明在規范化方面這些公司還有很多需要改進的空間。如果從國家安全的角度來講，這次事件反映出的問題，需要引起業界足夠的重視。（文/丁?。?/p>