App Store遭病毒入侵網(wǎng)易云音樂(lè)等中招

來(lái)源:騰訊科技 2015-09-18 17:16 http://www.iosapp77.com/ 海峽都市報(bào)電子版

[摘要]開(kāi)發(fā)者用了非官方渠道下載的Xcode編譯出來(lái)的應(yīng)用被注入了第三方的代碼。

　　9月18日互聯(lián)網(wǎng)新聞最新報(bào)道，據(jù)烏云網(wǎng)和硅谷安全公司Palo Alto發(fā)布安全預(yù)警稱，在App Store上架的網(wǎng)易云音樂(lè)等多個(gè)應(yīng)用被注入Xcode第三方惡意代碼，會(huì)將用戶信息發(fā)送到病毒作者服務(wù)器。

　　烏云網(wǎng)稱，開(kāi)發(fā)者用了非官方渠道下載的Xcode編譯工具，導(dǎo)致所開(kāi)發(fā)的應(yīng)用被注入了第三方代碼，會(huì)主動(dòng)向一個(gè)網(wǎng)站上傳應(yīng)用和系統(tǒng)的基本信息。網(wǎng)易云音樂(lè)最新版v2.8.3已經(jīng)感染病毒。

　　iOS應(yīng)用開(kāi)發(fā)者告訴騰訊科技，Xcode是蘋果官方開(kāi)發(fā)工具，但有“黑產(chǎn)”會(huì)提供第三方下載源，并以“官網(wǎng)下載繁忙”吸引開(kāi)發(fā)者從其提供的渠道下載。通常被植入惡意插件的工具會(huì)偽裝成官方版本。

　　Twitter用戶@fannheyward 爆料稱，受影響的除了網(wǎng)易云音樂(lè)外，還包括12306、中信銀行動(dòng)卡空間等應(yīng)用。@fannheyward 為愛(ài)微創(chuàng)想的iOS開(kāi)發(fā)主管。

　　目前，第三方惡意代碼所指向的惡意網(wǎng)站init.icloud-analysis.com已關(guān)閉，據(jù)了解該域名為病毒作者申請(qǐng)，用于收集數(shù)據(jù)信息。

　　獵豹移動(dòng)安全專家李鐵軍告訴騰訊科技，這是對(duì)開(kāi)發(fā)工具改造造成的危機(jī)。由于該病毒會(huì)收集包括時(shí)間，bundle id(包名)，應(yīng)用名稱，系統(tǒng)版本，語(yǔ)言，國(guó)家等，并上傳，所以在某種程度上會(huì)泄露隱私。

　　不過(guò)，由于蘋果本身權(quán)限限制比較嚴(yán)格，這類信息的泄露相對(duì)來(lái)說(shuō)，威脅并不嚴(yán)重，而且用戶不用過(guò)分擔(dān)心帳號(hào)安全。

　　李鐵軍表示，目前唯一解決問(wèn)題的方式是，只能等待開(kāi)發(fā)者重新發(fā)新的安裝包替換。對(duì)用戶來(lái)說(shuō)可以選擇卸載應(yīng)用，或者等待升級(jí)更新。

　　對(duì)于為什么會(huì)對(duì)Xcode植入惡意代碼，李鐵軍表示，“黑產(chǎn)”希望通過(guò)收集用戶信息，以便廣告投放，后者存在利益空間。由于蘋果限制比較多、審查比較嚴(yán)格，常用模式無(wú)法運(yùn)行，因此只能從開(kāi)發(fā)環(huán)節(jié)突破。盡管是有限的個(gè)人信息，但仍然有商業(yè)價(jià)值。所謂黑產(chǎn)，就是指靠收集個(gè)人信息，出售個(gè)人信息牟利的一群人。

　　【更新】

　　18日下午15時(shí)，網(wǎng)易云音樂(lè)通過(guò)社交網(wǎng)絡(luò)發(fā)布公告稱，目前感染制作者的服務(wù)器已關(guān)閉，不會(huì)產(chǎn)生任何威脅。

　　公告解釋稱，受非官方渠道開(kāi)發(fā)工具XcodeGhost“感染”影響，iPhone端部分應(yīng)用會(huì)上傳產(chǎn)品自身的部分基本信息。此次感染設(shè)計(jì)信息皆為產(chǎn)品的系統(tǒng)信息，無(wú)法調(diào)取和泄露用戶的個(gè)人信息。

　　不過(guò)，對(duì)是否后續(xù)通過(guò)更換下載包解決問(wèn)題，網(wǎng)易云音樂(lè)并未做出正面回應(yīng)。網(wǎng)易公關(guān)負(fù)責(zé)人表示，以公告內(nèi)容為準(zhǔn)。

　　以下為烏云網(wǎng)發(fā)布的安全預(yù)警報(bào)告：

　　不可信下載源Xcode包含惡意代碼預(yù)警（已有企業(yè)APP發(fā)布受到影響）

　　9月17日上午，微博用戶@JoeyBlue_ 曝光稱，有開(kāi)發(fā)者用了非官方渠道下載的Xcode編譯出來(lái)的應(yīng)用被注入了第三方的代碼，會(huì)向一個(gè)網(wǎng)站上傳數(shù)據(jù)。目前已知兩個(gè)知名應(yīng)用被注入。

　　烏云知識(shí)庫(kù)作者蒸米對(duì)注入的病毒樣本“XcodeGhost“進(jìn)行分析，確認(rèn)了上述說(shuō)法。經(jīng)分析，該病毒會(huì)收集應(yīng)用和系統(tǒng)的基本信息，包括時(shí)間、bundle id(包名)、應(yīng)用名稱、系統(tǒng)版本、語(yǔ)言、國(guó)家等，并上傳到init.icloud-analysis.com（該域名為病毒作者申請(qǐng)，用于收集數(shù)據(jù)信息）。

樣本文件中發(fā)現(xiàn)用以收集信息的函數(shù)

　　18日上午，硅谷安全公司Palo Alto跟蹤事件后發(fā)現(xiàn)國(guó)內(nèi)知名應(yīng)用網(wǎng)易云音樂(lè)中招，當(dāng)前App Store上架的網(wǎng)易云音樂(lè)最新版v2.8.3已經(jīng)感染病毒，會(huì)將手機(jī)隱私信息上傳至病毒作者的服務(wù)器上（Palo Alto還發(fā)現(xiàn)存在更多收集數(shù)據(jù)的域名）。

　　烏云建議，使用非官方渠道下載Xcode的iOS開(kāi)發(fā)者請(qǐng)立刻展開(kāi)自查，并對(duì)受影響版本進(jìn)行處理。我們也會(huì)持續(xù)關(guān)注事件進(jìn)展。

　　附檢查方法：

　　惡意Xcode包含有如下文件“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”；正常的Xcode的SDK目錄下沒(méi)有Library目錄（來(lái)自@JoeyBlue_）

　　其次，還應(yīng)該檢測(cè)一下Target->Build Setting->Search Paths->Framework Search Paths的設(shè)置，看看是否有可疑的frameworks混雜其中。