XcodeGhost 事件全面詳細回顧
9月18日,我們在「iOS大全」(iOShub)微信已做過首次匯總。19日晚,「程序員的那些事」主頁君根據當前網上相關信息,按照時間線,再次做一次更全面匯總。
2015-09-14
國家互聯網應急中心 發布預警
不過這個公告,絕大多數開發者,也是昨天開始才知道的。
2015-09-16
騰訊安全響應中心稱,「發現 App Store上的 TOP5000 應用有 76 款被感染,于是我們向蘋果官方及大部分受影響的廠商同步了這一情況。」
2015-09-17
XcodeGhost 事件在網上升溫發酵
【9:45】唐巧發了一條微博:
隨后很多留言的小伙伴們紛紛表示中招,@誰敢亂說話表示:”還是不能相信迅雷,我是把官網上的下載URL復制到迅雷里下載的,還是中招了。我說一下:有問題的Xcode6.4.dmg的sha1是:a836d8fa0fce198e061b7b38b826178b44c053a8,官方正確的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0,大家一定要校驗。”另外還有一位小伙伴表示他是在百度網盤上下載的,也中招了。
【16:00】國外安全公司 paloalto 發現了 XcodeGhost 問題,并發布第一版分析報告。
【17:43】阿里的蒸米、迅迪發布了他們文章:《 XCode 編譯器里有鬼,XCodeGhost 樣本分析》
(@程序員的那些事 主頁君注:內容為節選,有刪減)
雖然 XCodeGhost 并沒有非常嚴重的惡意行為,但是這種病毒傳播方式在iOS上還是首次。也許這只是病毒作者試試水而已,可能隨后還會有更大的動作,請開發者務必要小心。
這個病毒讓我想到了UNIX 之父 Ken Thompson 的圖靈獎演講 “
Reflections of Trusting Trust”。他曾經假設可以實現了一個修改的 tcc,用它編譯 su login 能產生后門,用修改的tcc編譯“正版”的 tcc 代碼也能夠產生有著同樣后門的 tcc。也就是不論bootstrap(用 tcc 編譯 tcc) 多少次,不論如何查看源碼都無法發現后門,真是細思恐極啊。根據熱心網友舉報,投毒者網名為『coderfun』。他在各種iOS開發者論壇或者weibo后留言引誘iOS開發者下載有毒版本的Xcode。并且中毒的版本不止Xcode 6.4,還有6.1,6.2和6.3等等。
</blockquote>
2015-09-18
第一批受感染的 APP 陸續被曝光
【14:14 】開始,@圖拉鼎 在微博持續發布了由他測試驗證受感染的 APP,至少包括如下:
網易云音樂
</li>滴滴出行
</li>12306
</li>中國聯通手機營業廳
</li>高德地圖
</li>豌豆莢的開眼
</li>網易公開課
</li>下廚房
</li>51卡保險箱(金融應用)
</li>同花順
</li>中信銀行動卡空間
</li> </ul>這個列表出來后,令人震驚。
【15:43】網易云音樂發公告
摘幾個網友對該公告的評論:
@吳明prfc :
這公告,用被小偷改造的工具,導致被偷。給你說小偷走了,沒威脅了,大家放心
</blockquote>@祝佳音:
翻譯:雖然我們愚蠢又無能,也不知如何收拾殘局,但不知道為什么,好像敵人暫時沒動靜了。這件事就當沒發生,就當沒發生!
</blockquote>【19:17】@Saic 童鞋發布《XcodeGhost 實際用途猜測分析》,給出了 XG 木馬的邏輯:
在用戶安裝了目標應用后,木馬會向服務器發送用戶數據。
服務器根據需要返回模擬彈窗。
彈窗可以是提示支付失敗,請到目標地址付款,也可以是某個軟件的企業安裝包。
用戶被誘導安裝未經審核的安裝包后,程序可以調用系統的私有 API,實現進一步的攻擊目的。
木馬中還有一些調用應用內購的攻擊邏輯,就不展開說明了。
如果之前有遇到任何程序彈出非系統需要輸入 Apple ID 或密碼的網站,并輸入過密碼的,還請盡早修改。
全文:http://weibo.com/p/1001603888503866975286
</blockquote>【21:02】微博上曝光了第二份受感染的 APP 列表:
(右側是版本信息)【21:43】中招的@騰訊微信團隊 在微博發聲明,里面提到:
1.該問題僅存在iOS 6.2.5版本中,最新版本微信已經解決此問題,用戶可升級微信自行修復,此問題不會給用戶造成直接影響。
</blockquote>全文:http://weibo.com/p/1001603888540667758451
2015-09-19
【凌晨 4:39】自稱 XcodeGhost 作者的網友在微博發聲明,稱只是實驗項目,無任何威脅
以下引用部分微博上針對該聲明的評論:
@唐巧_boy:我剛剛看了一下作者放出的源碼,和逆向出來的代碼行為一致,應該是真的。
@南非蜘蛛:你有點小調皮,想進監獄了是吧?
@Daniel_K4:作者是實驗么?持續傳播了半年,我不太相信。。。現在才出來發布說明,應該是被定位到嚇壞了吧。
@Livid:一個程序員出于試驗目的做的修改版 Xcode.dmg 能夠通過自然分發的方式裝到那么多重要 App 的開發環境里,也是一件挺不可思議的事情。
@Easy:翻一下就是「我就配了把你家鑰匙。還沒開始偷東西呢,當然是無害了」。
@tombkeeper 事鬧大了,就會變成公安部督辦案件,就幾乎一定能破案,幾乎一定能抓到人。這時候無論自首還是跑路都比發“澄清”有意義得多。
@onevcat:算個賬,微信用戶總數 5 億日活70%。每天每人就算5個POST請求,每個請求300Byte,日流入流量就接近500G,以及17.5億次請求。據說服務器扔在亞馬遜,那么資 費算一下每個月應該是存儲$450,請求$260K。這還只是單單一個微信,再算上網易云音樂等等,每月四五十萬刀僅僅是苦逼iOS開發者的個人實驗?
2015-09-19 上午
為避免給更多用戶造成可能是傷害,蘋果公司開始下架受感染的 APP,并給相應開發商發郵件
圖來自@小小小小_燦,可能看不清。在郵件中,蘋果也說明了重新上架的條件:
從官方下載 Xcode;
</li>重新編譯打包;
</li>提交等待審核;
</li> </ol>
【開發圈和安全圈的事后討論】
(不分時間順序)
<p>@Saic: </p>蘋果以審核嚴格著稱,為何會允許應用上架???
惡意代碼加載到程序中后,將收集到的用戶信息加密,發送到遠程服務器。
收集的信息包括系統版本,程序名稱,用戶的唯一識別 ID,語言等非敏感信息。
對蘋果來說,這段代碼與普通的第三方統計代碼并沒有區別,甚至你在使用一些程序內的微博登陸或微信分享功能時,微博和微信都可能會收集這些信息到自己的服務器。
因為沒有涉及到蘋果禁止開發者使用的接口,一切看起來都很正常,所以帶有惡意代碼的應用可以正常發布到 App Store。
對我有什么影響???
根據目前的研究進展以及自稱是開發者公布的惡意代碼源碼,代碼主要做了以下事情:
在用戶安裝了目標應用后,木馬會向服務器發送用戶數據。
服務器會返回一些可以讓程序彈出提示的控制代碼,例如:
用戶名密碼錯誤,請到以下地址修改,用戶確認后跳轉到一個偽造的釣魚網站
</li>彈出 App Store 官方的應用下載頁面,誘導用戶下載
</li>程序有升級,用戶確認后可以利用非官方渠道、修改過的應用替換掉當前應用
</li>其他非官方應用程序的推廣和下載
</li> </ul>因為彈窗是從用戶信任的應用里彈出,很多時候不會多做懷疑就會授權或確認下載。
另外根據相關研究,代碼可能存在多種變種 [ 3 ],可能存在直接竊取用戶 Apple ID 的版本,模擬系統登陸框在技術上是可行的。
Via: http://weibo.com/p/1001603888803550000430
</blockquote> <p>@圖拉鼎: </p>對于 iOS 開發者的建議,立即刪除從不明來源下載的 Xcode,即使你是用官方地址然后在迅雷上下載的,最后從 App Store 安裝最新版本的 Xcode。有條件的公司應該在今天開始專門設置一臺有專人管理的 Build Server,所有發布至 App Store 的 App 只能從該臺電腦 Build 并發布,以防止未來此類事件的再現。
</blockquote> <p>@sunny_THU: </p>2. 這件事情是不是很嚴重
可以說很嚴重,也可以說不嚴重。說這件事情很嚴重,是因為我們把程序的控制權分享分享給了第三個人,他可以做任何程序內部的操作,包括監控輸入,支 付,跳轉,用戶的內容等行為(但也僅限于單個中毒的app內部,系統層的內容和別的app的內容是拿不到的,這里就不得不感謝蘋果的沙盒機制,在機制上保 護了一定的安全性),并且這次攻擊證明根本上蘋果軟件的開發和提交機制是有漏洞的,更嚴重的問題是會不會已經有了一些別的病毒在軟件中,只是沒有被發現。 不嚴重是因為這次的病毒如果按照木馬作者披露的源碼,并沒有做嚴重損害用戶隱私的事情(一些安全機構逆向了源碼,基本和作者公開的代碼符合 http://security.tencent.com/index.php/blog/msg/96 )。
3. 怎么避免這種事情
“程序最大的bug不是程序自身,而是人”。這次事件是各種因素一起影響的結果,開發者根本沒有意識到Xcode都會被攻擊,國內網絡環境太差,公 司不配備V*N等等。而開發者作為軟件的開發者和安全的負責人以及直接責任人更需要去規范和爭取,因為你比其他人知道的更多,也更清楚問題有多嚴重。
</blockquote> <p>@TK 教主: </p>2015 年 3 月 10 日的這篇文章透露:美國圣地亞國家實驗室在 2012 年 CIA 的秘密會議“Jamboree”上提出被稱作“Strawhorse”的攻擊方式:通過修改 Xcode 使開發商不知情地發布帶有后門的 APP。“codefun” 開始散布修改后的 Xcode 是在 3 月中旬,不知道是不是受了這個啟發。
</blockquote> <p>@月光博客: </p>迅雷的回應如下:對于Xcode被植入惡意代碼一事,有猜測稱迅雷服務器受到感染,導致使用迅雷會下載到含有惡意代碼的 Xcode。迅雷第一時間安排工程師進行檢測,并對比了離線服務器上的文件,結果都與蘋果官方下載地址的文件信息一致。也就是說,官方鏈接的Xcode經 迅雷下載不會被植入惡意代碼。
XcodeGhost事件并不表明蘋果iOS的安全性相比安卓有什么問題,實際上,就開發環境來說,安卓實際上也是一樣的,蘋果的開發軟件下載速度 慢,而安卓的開發軟件不KX上網根本無法從官網下載,大量安卓開發者都不是從官網下載的開發環境,很多開發工具來路不明,因此安卓很可能也存在類似問題。
</blockquote> <p>@唐巧: </p>XcodeGhost 這件事情,蘋果自己也有責任,Mac App Store下載速度慢得要死,每次下Xcode花個幾十分鐘非常正常,這才造成大家都用迅雷和百度網盤這種非官方渠道。就說現在吧,我的Mac系統更新了一上午,還是處于卡頓無進度狀態。[淚]
</blockquote> <p>@騰訊玄武實驗室: </p>雖然目前 init.icloud-analysis.com 等 XcodeGhost 相關域名已經不可訪問,XcodeGhost 的始作俑者可能也不會再利用其干壞事,但這并不代表其他人不會。
有心干壞事的人,可以通過 DNS 投毒、偽造 WiFi 接入點等手段,控制或大或小的一個地區對 init.icloud-analysis.com 等域名的解析,從而變成 XcodeGhost 的控制者。所以受影響的 APP 開發商還是應該盡快發布干凈的版本讓用戶升級。
</blockquote>
【主頁君留言】:今天這篇耗時 2+ 小時。如果各位覺得不錯,請分享給其他朋友。
微信號:iProgrammer
(長按上圖,可自動識別二維碼)
其他媒體和公號若轉載
必須保留全文完整內容,包括本段聲明和二維碼圖片
本文轉載自: http://blog.jobbole.com/91646/本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
