網易科技訊 9月23日消息,上周爆發的XcodeGhost事件引發了不小的震動,上周日蘋果表示正在對iOS App Store進行清理,刪除其中的iPhone和iPad惡意應用。而在今日,蘋果官網發布了回應全文。蘋果表示一直建議開發者使用蘋果提供的免費、安全工具,包括Xcode,從而確保為App Store用戶創造出安全的app。為了更快下載開發者工具,開發者有時會從其他非Apple站點搜尋Xcode。一些開發者下載了已被惡意軟件感染的盜版Xcode,由此開發的app也同樣受到感染。
蘋果稱,目前沒有任何信息表明這些惡意軟件與任何惡意事件相關,也沒有信息表明這些軟件被使用在傳播任何個人身份信息的用途上。同時,也沒有看到任何客戶個人身份信息受到影響,而且代碼無法通過用戶身份請求來獲取iCloud或其他服務的密碼。
蘋果表示,只要一經發現這些app有可能通過惡意代碼開發,就對其進行下架處理。蘋果正與開發者緊密協作,以確保受到影響的app盡快回到App Store,蘋果也將在支持頁面上列出受此影響的前25個apps,方便用戶驗證他們是否已將這些app更新到了最新版本。
同時蘋果正努力讓中國的開發者可以用更快的速度下載Xcode測試版本。
以下是蘋果回應全文:
有關 XcodeGhost 的問題和解答
我聽說了由 XcodeGhost 開發的惡意 app — 這是怎么回事?
我們一直建議開發者使用由我們提供的免費、安全的工具,包括 Xcode,從而確保他們為 App Store 的用戶創造出安全的 app。一些開發者下載了已被惡意軟件感染的盜版 Xcode,由此開發的 app 也同樣受到感染。
Apple 特意使用諸如 Gatekeeper 等技術,以防止安裝從非 App Store 渠道下載的應用程序,和 / 或安裝包括 Xcode 在內的未簽名的應用程序。當開發者為了能安裝類似 XcodeGhost 等惡意程序時,這些保護措施會被刻意地禁用。
作為 Apple 向開發者提供的業界先進工具之一,以下措施可以確保軟件未被篡改:
Xcode app 有 Apple 的代碼簽名。
從 Mac App Store 下載 Xcode 時,開發者的電腦系統自動對 Xcode 的代碼簽名會進行檢查和驗證。
從 Apple Developer Program 網站下載 Xcode 時,只要 Gatekeeper 沒有被禁用,默認開發者的電腦系統對 Xcode 代碼簽名自動進行檢查和驗證。
為什么開發者會不顧用戶的安全下載盜版軟件?
為了更快下載我們的開發者工具,開發者有時會從其他非 Apple 站點搜尋。
這會對我有什么影響嗎?如何得知我的設備是否受到了影響?
我們目前沒有任何信息表明這些惡意軟件與任何惡意事件相關,也沒有信息表明這些軟件被使用在傳播任何個人身份信息的用途上。
我們目前沒有看到任何客戶個人身份信息受到影響,而且代碼無法通過用戶身份請求來獲取 iCloud 或其他服務的密碼。
只要一經發現這些 app 有可能通過惡意代碼開發,我們就對其進行下架處理。開發者們正在快速更新他們的 app,以便用戶使用。
惡意代碼只能提供一些基本信息,比如 app 和一般系統信息。
從 Apps Store 下載 app 是否安全?
我們已將由該盜版軟件開發的 apps 從 App Store 中撤下,並攔截了通過該惡意軟件開發的新 app 進入 App Store。
我們正與開發者緊密協作,以確保受到影響的 app 盡快回到 App Store 供用戶使用。
我們將在支持頁面上列出受此影響的前 25 個 apps,方便用戶驗證他們是否已將這些 app 更新到了最新版本。
用戶還將會收到更多信息,以便了解他們下載的某 app 是否會存在問題。一旦開發者更新了他們的 app,用戶可以通過在設備上運行更新解決存在的問題。
我們正努力讓中國的開發者可以用更快的速度下載 Xcode 測試版本。開發者也可以通過 developer.apple.com 列出的步驟來驗證他們的 Xcode 是否被篡改過。
網易科技訊 9月21日消息,據國外媒體報道,蘋果公司周日表示正在對iOS App Store進行清理,刪除其中的iPhone和iPad惡意應用。上周,iOS App Store遭遇首次大規模信息安全攻擊。
攻擊事件發生後,數家網絡安全公司發表安全報告稱,發現了一款名為XcodeGhost的惡意軟件被注入數百款合法應用中。蘋果因此采取了刪除措施。
這是蘋果公司首次被發現批量惡意軟件成功繞開蘋果嚴格的應用審批流程,進入到App Store商店中。根據網絡安全公司Palo Alto Networks的數據,在本次攻擊之前,App Store總共才發現過5款惡意應用。
蘋果公司稱,在此次攻擊中,黑客通過誘導誘騙應用開發者使用偽造的iOS和Mac應用開發工具Xcode,從而將惡意代碼注入這些應用。
蘋果發言人克莉絲汀·莫納漢(Christine Monaghan)在一份電子郵件中表示:“我們已經將App Store裏這些基於偽造開發工具開發的應用刪除了,同時我們正和開發者聯系,確保他們使用正確版本的Xcode來重新開發應用。”
她沒有透露iPhone和iPad用戶可采用怎樣的措施來確認自己的設備是否受到影響。
Palo Alto Networks情報威脅負責人萊恩·奧爾森(Ryan Olsen)表示,該惡意軟件的威脅功能有限,並且該公司暫未發現一起數據盜竊或是其他因此攻擊而造成損失的案例。
不過,他表示這仍是一起“重大事件”,因為這表明了假如黑客將開發人員用來編寫合法應用程序的機器感染了,App Store就有可能被攻擊。其他黑客也有可能效仿XcodeGhost即本次攻擊的作者的這種行徑,這種攻擊很難抵禦。“現在,開發者反而成了靶子。”
據悉,偽造的Xcode工具來自中國的一個服務器。網絡安全研究人員表示,被感染的應用包括騰訊旗下的微信、叫車服務滴滴出行等。安全公司奇虎360在官方博客中表示,已發現有344款應用受到了XcodeGhost的影響。
蘋果拒絕透露其已經發現有多少款應用受到影響。(子昕)
上周末,多家安全企業都曝光了一起名為“XcodeGhost”的安全事件,病毒制造者通過感染蘋果應用的開發工具Xcode,讓AppStore中的正版應用帶上了會上傳信息的惡意程序。據估算,受到影響的用戶數量會超過一億。這一事件的爆發,也打破了原本被認為安全性很高的蘋果iOS系統的金身。360公司表示,目前已經通過技術手段基本鎖定病毒制造者的身份,並且已經報警。
事件:300多熱門App感染惡意程序
近日,多款知名社交、地圖、出行App的iPhone版被爆出有“惡意代碼”。此次的“XcodeGhost”事件之所以熱度極高,很重要的一個原因是受到影響的用戶數量極多。
事件曝光後,多家移動安全企業都公布了各自檢測出受波及的App名單,其中360涅槃團隊公布的受影響App數量最多。涅槃團隊稱,通過對14.5萬App的掃描,發現有344款App都感染了惡意程序,其中不乏微信、12306、高德地圖、滴滴打車等熱門App。據“騰訊安全應急響應中心”發布的報告,保守估計,受這次事件影響的用戶數超過1億。這可能是蘋果AppStore上線以來,涉及用戶數最多的一起安全事件。
目前,微信、高德地圖、滴滴打車、網易雲音樂等一些知名App,都對外承認受到了“XcodeGhost”事件影響,不過同時這些公司在聲明中也都表示,這一事件不會對用戶的信息安全造成威脅,並且已經發布了修複惡意程序的新版本應用,用戶自行升級就可以解決。例如,微信團隊在公開聲明中就表示,“該問題僅存在iOS6.2.5版本中,最新版本微信已經解決此問題,用戶可升級微信自行修複,此問題不會給用戶造成直接影響。目前尚沒有發現用戶會因此造成信息或者財產的直接損失,但是微信團隊將持續關注和監測。”
當然,在為數眾多的App中,公開信息的畢竟還是少數。360安全實驗室負責人林偉表示,有些小應用的開發團隊可能還沒有及時對應用進行升級,甚至不排除有的開發者還不知道自己的應用中槍了。“我們也在盡可能發現並且通知用戶和開發者。”林偉表示。
木馬代碼嵌入開發工具源頭
在安卓平台上,各種安全問題的爆發對於用戶來說已經習以為常了,而蘋果的iOS系統一直被認為相當安全,因為蘋果對於其中的App有著嚴格的安全審核機制。不過這一次,對自己手機安全沒怎么操過心的蘋果用戶也有些傻眼了,“從蘋果官方下載的App怎么也中毒了?”手機裸奔的感覺,也讓很多iPhone用戶感到了惶恐。
“這已經注定成為移動安全史上標示性的事件。”有移動安全方面的人士這樣評價,這可以說是迄今為止手機行業最大的一次安全事件,過億受影響的用戶確實讓人感到不寒而栗。
另外,這種黑客直接把木馬代碼嵌入了iOS開發工具源頭的攻擊方式在國內尚屬首次,而一旦這扇門開了,帶來的風險是不言而喻的,類似的攻擊方式也會引發更多黑色產業鏈的效仿。
據盤古越獄團隊的創始人韓爭光介紹,實際上這種從源頭上進行汙染的黑客手段,很早之前就有人提出過,UNIX之父KenThompson在一次演講中就做過類似的假設,斯諾登曝光的材料裏也提到過Xcode汙染的案例。只不過這一次是這種情況的首次大規模傳播,與某些特別目的的手段不相同。
林偉則表示,蘋果是不允許用戶使用第三方安全軟件的,之前大家可能覺得這沒什么,但此次事件之後能看出,安全企業提供的保護方案要比手機廠商自己做的要更專業。他認為,最理想的情況就是蘋果向第三方安全軟件開發iOS系統,讓不越獄的iPhone用戶也能接受到更加專業可靠的安全保護。
蘋果已經向受影響應用開發者發出應用下架通知,要求開發者從正規渠道下載Xcode程序,重新編寫應用程序再上傳。
進展:病毒制造者身份已被鎖定
就在事件爆發後,自稱是“XcodeGhost”始作俑者的新浪微博用戶@@XcodeGhost-Author在網上發了一封道歉信。他稱,XcodeGhost源於他自己進行的一項實驗,獲取的全部數據實際為基本的App信息:應用名、應用版本號、系統版本號、語言、國家名、開發者符號、App安裝時間、設備名稱、設備類型,除此之外,沒有獲取任何其他數據。他也承認,出於私心,在代碼加入了廣告功能,希望將來可以推廣自己的應用,但從開始到最終關閉服務器,並未使用過廣告功能。而在10天前,他已主動關閉服務器,並刪除所有數據,更不會對任何人有任何影響。“XcodeGhost不會影響任何App的使用,更不會獲取隱私數據,僅僅是一段已經死亡的代碼。”這個給無數人帶來大麻煩的人這樣說道。
不過,這種輕描淡寫遭到了很多安全行業從業者的質疑。林偉就表示,360團隊對其行為的追蹤發現,在半年之前,就有人開始在大量的iOS開發論壇上散布Xcode的下載鏈接,甚至還有人入侵了某論壇版主的ID來修改下載鏈接,而這些下載鏈接全部指向了同一份網盤文件,如此大規模的舉動,做實驗的說法根本解釋不通。也有網絡工程師在微博上算了一筆賬,這種對用戶信息的收集,僅僅是使用海外服務器的成本每月就要四五十萬美元。“這僅僅是個苦×開發者的個人實驗?”
韓爭光也認為,進行這種黑客行為對制造者的技術水平要求很高,絕非一般人能夠所為,而且從其一系列行為來看,不大可能是一個人做出來的,應該是有一個團隊在操盤,背後很可能是和黑產產業鏈有關系。
360公司對記者表示,目前已經通過技術手段基本鎖定了病毒制造者的身份,並且已經報警,正在配合警方進行調查。不過360相關人士表示,在警方結案前還不能公布關於病毒制造者身份的更多細節。從記者在多個渠道獲得的信息來看,病毒制造者並非一個人,其中一名主要成員曾是國內某名校的保送研究生,不過已經退學。
建議:用戶應定期修改密碼
不管黑客是怎么得手的,對於普通用戶來說,最重要也是最關心的事只有一個,那就是自己的手機究竟安不安全?“微信、滴滴打車、12306,這些應用我都裝了,還做過支付,會不會有風險?綁定的信用卡會不會被盜刷?”很多用戶急切想知道答案。
從上述“病毒開發者”回應來看,“XcodeGhost”收集的數據確實不涉及太敏感和關鍵的信息,目前尚無證據證實“XcodeGhost”有利用收集用戶信息違法獲利的行為,也沒有收到用戶損失方面的報告。從這個方面來說,即便安裝了受影響的App,iPhone用戶也不必過於緊張。
不過,韓爭光認為,雖然現在看不到這個惡意程序造成了什么損失,但這個惡意程序是可以帶來很多更嚴重威脅的。就像一個高明的竊賊撬開了嚴密的防盜門,進到一個人家,這一次只是留下了幾張“小廣告”就走了,但是他將來是有能力進到家中把財物席卷一空的,“也有可能家中失竊了,但是房主還沒有發現。”
韓爭光建議,手機中安裝了受到影響的App的用戶,如果是常用的應用,就暫停使用,等開發者發布新的版本更新後再使用;如果是不常用的應用,可以直接卸載。他同時還建議,雖然目前沒有看到造成損失的案例,但確實存在泄露個人關鍵信息的風險,還是建議用戶修改一下手機中的重要密碼。無論有沒有安全事件,定期修改密碼都是一個良好的習慣。
開發者應確保開發環境安全
這一次的“XcodeGhost”事件和以往的安全事件很大的不同在於用戶其實開始是無從防范的,蘋果應用的開發者成為了病毒傳播鏈條上很關鍵的一環。雖然病毒制造者汙染了Xcode工具,但如果開發者都從正規渠道下載這一工具,也不會造成現在的局面。
有iOS開發者表示,從其他渠道下載Xcode而不是從蘋果官方渠道下載,其實是業內很普遍的行為,因為官方下載渠道速度太慢,很多程序員為了節省時間往往直接使用國內的下載工具下載,這就給了“XcodeGhost”病毒可乘之機。
獵豹移動表示,這件事給程序員敲響了警鍾:要安全,首先得保證自己的開發工具安全。程序員被黑客暗算的事曾經多次發生,無論如何,建議使用正版、未被非法篡改過的開發工具編寫程序,避免用戶成為受害者;其次,編譯環境、發布環境的安全值得注意,編譯服務器和自動發布服務器,應保持幹淨的環境,不要隨意安裝來源不明的可疑軟件。
安全行業業內人士表示,這一次的事件給蘋果在安全機制上敲響了警鍾,讓蘋果注意到自身安全機制存在的漏洞,相信蘋果會修補這次安全事件造成的影響,在安全審查上變得更加嚴格。
京華時報記者 古曉宇
針對XcodeGhost事件,獵豹移動安全實驗室整理出了的10個熱點問答。
1.XcodeGhost事件的來龍去脈
源於9月18日烏雲網公布的一則分析報告:XCode編譯器裏有鬼 – XCodeGhost樣本分析,這份純粹的技術分析報告引爆中國iOS生態鏈的眾多開發者。
有些程序員使用了第三方Xcode編譯器,這些編譯器編寫的APP存在安全問題,當它們上傳到AppStore之後,被用戶下載安裝,它們會偷偷上傳軟件包名、應用名、系統版本、語言、國家等基本信息。
從病毒樣本的分析看,這些泄露信息其實並不涉及太多的隱私問題。
值得注意的是,病毒擁有更多的權限,它們在iPhone/iPad上彈出釣魚網站頁面,可能騙取iCloud帳號密碼,或者其他關鍵信息。
2.哪些APP有問題,可能有什么影響?
據分析,受XCodeGhost事件影響的APP可能有30多款,包括微信、我叫MT、同花順、南京銀行、南方航空、中信銀行行動卡空間、名片全能王、憤怒的小鳥2等等比較熟知的應用。
安裝這些應用的iPhone/iPad用戶可能泄露基本的信息。
如果在近一段時間(1-2個月內),普通用戶在這些受影響的應用中輸入過敏感信息,如icloud密碼、信用卡信息等,這些信息理論上也可能被泄露。
基於安全的考慮,最好對涉及到的密碼、支付方式等進行修改。
3.這意味著什么?蘋果不再安全了嗎?
以往人們普遍認為,只要不越獄,只從官方應用市場下載軟件,iPhone/iPad就是安全的。現在,這個神話破滅了。開發工具中做手腳 ,可能騙過那些聰明的程序員,在編譯自己的應用時,把有害代碼加進去,威脅用戶數據安全。
甚至這種攻擊方式繞過了AppStore的安全審核機制,使得官方商店的防護也不如以往那樣可信。
4.iPhone/iPad需要安全軟件嗎?
總的來說,iPhone/iPad不越獄的風險仍然可控,盡管這次蘋果的安全審查未能檢測到威脅。用戶仍然只能從官方市場下載應用,比安卓上混亂的應用市場還是要好一些。
另外,需要提醒蘋果用戶注意的是,並不是手機不中毒就安全,目前大量安全事件其實並非手機端的病毒制造的,信息泄露、網絡釣魚、電信詐騙等幾乎無處不在,提高安全意識才是防范風險最有用的手段。而這些,顯然不能僅僅依靠手機端的安全軟件來解決。
5.普通用戶如何防范?
再次建議iPhone/iPad用戶不要越獄,只從官方市場下載軟件。當有人試圖套取你的iCloud帳戶密碼或者其他重要帳戶密碼、手機驗證碼時,必須謹慎對待。
為確保安全,用戶也可以選擇暫時卸載那些受影響軟件。保險起見,修改iCloud帳戶密碼。再次強烈建議開通iCloud雙重驗證,方法可參考百度經驗的技術文章:http://jingyan.baidu.com/article/eb9f7b6da354d2869364e8f1.html
6.疑似作者道歉了,公開了源碼,他說的是真的嗎?
#XcodeGhost#始作俑者@XcodeGhost-Author 向公眾致歉,稱這是一個“實驗”、“並未制造威脅性行為”,並上傳源碼供研究人員分析,業內人士從源碼判斷“可信度較高”。
7.有人說需要iCloud需要改密碼,信用卡需要注銷,12306也要改密碼。
目前,該事件並未上升到草木皆兵的地步,iCloud帳戶及其他重要帳號,建議網友開通雙重驗證(即除了用戶名密碼驗證,再開通其他方式比如手機驗證碼驗證動態密碼)。安全專家總在反複強調不要重複使用密碼,不要使用過於簡單的密碼,這些都是非常重要的建議。
當安全事件到來時,有所准備的網友受到傷害的可能性最低。
8.針對XCode程序員的安全建議是什么?
程序員使用Xcode非官方版本,可能有兩個原因:官方渠道下載緩慢,或者開發者使用了黑蘋果(盜版蘋果系統)開發。
這件事給程序員敲響警鍾,要安全,首先得保證自己的開發工具安全。程序員被黑客暗算的事兒曾經多次發生,無論如何,建議使用正版、未被非法篡改過的開發工具編寫程序,避免你的用戶成為受害者。
其次,編譯環境、發布環境的安全值得注意,編譯服務器和自動發布服務器,應保持幹淨的環境,不要隨意安裝來源不明的可疑軟件。
9.此次事件對蘋果的安全策略會造成什么影響?
顯然,蘋果會修補這次安全事件造成的影響,安全審查會變得更嚴格。但蘋果不會為某些軟件(比如安全軟件)提供更多權限。
10.為什么蘋果沒能阻止這次攻擊?
安全是動態的過程,今天認為安全的保護措施,可能在未來某個時刻被新的攻擊方法突破,或者總有漏洞被黑客發現。一個完全不會被攻克的系統,只能是神話。