XcodeGhost S——iOS病毒門進一步升級

在 XcodeGhost 事件發生近 2 個月后，美國知名網絡安全公司 FireEye 近日指出，盡管蘋果和相關公司反映迅速，XcodeGhost 的影響卻仍在持續，且出現了變異的 XcodeGhost S 版本。該版本可以在最新的 iOS 9 系統中繼續竊取用戶信息，并可以繞開靜態檢測的安全防御措施。

XcodeGhost 事件起源于國家互聯網應急中心（CNCERT）在 9 月 14 日發布的一則題為《關于使用非蘋果官方 XCODE 存在植入惡意代碼情況的預警通報》的 預警信息。該信息指出，部分開發者使用的非官方 XCODE 工具會向蘋果 APP 中植入惡意代碼。這些代碼經 App Store 正常下載并安裝后，會竊取并上傳用戶信息，并具有惡意遠程控制的功能。隨后，iOS 開發者@唐巧_boy 在微博中表示，已知兩個致命 App 感染惡意代碼。由此，XCodeGhost“病毒門”事件開始升級。據統計，全球有超過上千款款應用被發現使用了冒牌 Xcode 開發工具——XcodeGhost。

蘋果官方隨后針對該事件進行了說明， 在 App Store 中下架了受感染 App 的相關版本，并添加了新的安全特性。相關蘋果 App 的開發團隊也紛紛推出了新版本的應用。然而，FireEye 近日指出，XcodeGhost 的影響仍然進入了美國企業，并將成為一個長期存在的安全風險。而且，其僵尸網絡仍然部分存活。代號為 XcodeGhost S 的變種更是表明，更多高級的安全威脅之前還沒有被檢測到。

通過對 XcodeGhost 相關的活動進行為期一個月的觀察，FireEye 發現仍有 210 家美國企業在運行被 XcodeGhost 惡意感染的蘋果應用。這些企業主要集中在教育（其使用的惡意軟件占所有惡意應用的 65%）、高科技（13%）、制造（4%）和通信（2%）行業等。在這些應用程序產生的 28000 次 XcdoeGhost CnC（命令和控制，Command and Control）服務器的連接請求中，服務器地址主要集中在德國（占所有請求的 62%）、美國（33%）、法國（3%）、荷蘭（2%）和日本（0.09）。由此可見，XcodeGhost 的影響已經牽涉到了很多行業和很多國家。

相關研究人員指出，XcdoeGhost 的 CnC 數據可以被用作在 App Store 之外分發應用、強制瀏覽器訪問某個地址、通過直接訪問下載頁提高任何應用的下載量和彈出釣魚窗口等。根據從 DTI 云得到的數據，在 152 個應用中最活躍的前 20 個受感染應用如下圖所示。

從上圖可以看出，盡管絕大部分廠商已經升級了應用，很多用戶仍然在使用受感染的應用版本。例如，網易云音樂和 WeChat 受感染的版本分別如下。

為了減少舊版本的影響，一些企業直接屏蔽了 XcdoeGhost DNS 的查詢操作。然而，當相關應用沒有升級時，雇員的手機和啟動設備仍然可能會在其他網絡環境中訪問 Cnc 服務器。

此外，FireEye 公司與蘋果公司合作把所有受 XcodeGhost 和 XcodeGhost S 感染的應用從 App Store 中進行了移除。在該過程中，FireEye 發現 XcodeGhost 的影響包含了多個版本的 Xcode。甚至為 iOS 9 開發而推出的 Xcode 7 也沒有幸免。最新版的 XcodeGhost S 更是專門針對 iOS9 進行了升級，并可以繞開靜態檢測。

之前，蘋果公司引入了“NSAppTransportSecurity”的方法來改善 iOS9 中的客戶端/服務器的連接安全。默認情況下，iOS9 只允許安全連接（如攜帶指定密文的 HTTPS）。因此，之前的 XcodeGhost 都因為使用 http 而無法連接到 CnC 服務器。然而，蘋果允許開發者在應用的 info.plist 中添加“NSAllowsArbitraryLoads”例外來允許 http 訪問。因此，如下圖所示，XcodeGhost S 選擇讀取該例外的設置，從而相應選擇不同的 CnC 服務器。

更進一步，XcodeGhost 選擇把 CnC 域的字符串用一系列的單個字符隔開，從而躲避靜態檢測。

FireEye 的 iOS 動態分析平臺已經成功探測到一個 XcodeGhost S 感染的應用——“自由邦”。該軟件已經被蘋果公司從 App Store 中下架。由此，是否存在更多被感染的軟件成為一個大大的疑問。一旦這些軟件存在，XcodeGhsot 事件的影響力將會進一步升級。

因此，FireEye 建議，企業和機構能夠及時通知 XcodeGhost 和其他惡意應用的威脅。用戶應該及時刪除受感染的應用或者升級應用。