禍起，XcodeGhost

陳文

平地驚雷，病毒事件持續(xù)發(fā)酵

9月17日上午，《猿題庫(kù)》iOS開(kāi)發(fā)工程師唐巧發(fā)了一條微博，公布了他自己組建的iOS技術(shù)群里關(guān)于Xcode漏洞的討論結(jié)果，并附上了軟件是否包含Xcode惡意代碼的檢驗(yàn)方式。由于唐巧在iOS圈內(nèi)的影響力，他的微博迅速被阿里移動(dòng)安全資深工程師蒸米關(guān)注。9月17日下午1點(diǎn)，蒸米拿到了病毒樣本，并開(kāi)始進(jìn)行初步分析，在和同事討論后，他們決定給這個(gè)樣本起名為“XcodeGhost”，并于當(dāng)天下午5點(diǎn)寫(xiě)成了業(yè)界第一篇分析報(bào)告《XCode編譯器里有鬼— XCodeGhost樣本分析》發(fā)表在烏云網(wǎng)上。

烏云網(wǎng)是位于廠商和安全研究者之間的漏洞報(bào)告平臺(tái)。經(jīng)過(guò)烏云網(wǎng)的曝光，這件原本只在互聯(lián)網(wǎng)安全圈子里的事件發(fā)酵開(kāi)來(lái)，后有媒體開(kāi)始介入報(bào)道，甚至有部分用戶開(kāi)始產(chǎn)生恐慌情緒。在隨后的兩天內(nèi)，這個(gè)影響上億用戶的互聯(lián)網(wǎng)安全大事件，讓無(wú)數(shù)程序員在剛剛過(guò)去的這個(gè)周末加班熬夜打補(bǔ)丁。據(jù)不完全統(tǒng)計(jì)，有數(shù)百個(gè)APP牽涉其中，并且不乏《微信》、《網(wǎng)易云音樂(lè)》、《高德地圖》和《同花順》等知名APP。

一個(gè)漏洞為什么會(huì)攪起這么大的風(fēng)波？有個(gè)形象的比喻是—“炒菜的鍋都不干凈，還能指望端上桌的菜沒(méi)有問(wèn)題嗎？”簡(jiǎn)單來(lái)說(shuō)，Xcode是iOS系統(tǒng)下程序員最常用的開(kāi)發(fā)工具，由蘋(píng)果官方提供給開(kāi)發(fā)者，它幾乎是生成iOS應(yīng)用的唯一工具。遺憾的是，蘋(píng)果官方的下載源因?yàn)楸娝苤脑蛳螺d極慢，再加上國(guó)內(nèi)“碼農(nóng)”養(yǎng)成用百度搜索來(lái)下載各類應(yīng)用工具的習(xí)慣，從而導(dǎo)致了XcodeGhost病毒的廣泛傳播。

9月18日，美國(guó)硅谷的palo alto networks安全公司也分析完了XcodeGhost樣本，并發(fā)表了分析報(bào)告，提到《網(wǎng)易云音樂(lè)》等多家APP被感染。隨后，一直沉默的蘋(píng)果終于給出了回應(yīng)，聲稱這次安全事件是黑客誘騙應(yīng)用開(kāi)發(fā)者使用了修改過(guò)的蘋(píng)果應(yīng)用開(kāi)發(fā)工具Xcode，從而將惡意代碼注入至這些應(yīng)用。不過(guò)，蘋(píng)果并沒(méi)有透露，iOS用戶采取哪種方式，來(lái)判斷自己設(shè)備中有哪些應(yīng)用是被感染的。在開(kāi)發(fā)者們忙著遞交APP修補(bǔ)版本時(shí)，蘋(píng)果也改掉了往日慢悠悠的性子，加快了審核速度。很快，《網(wǎng)易云音樂(lè)》、《滴滴出行》和《微信》等APP都發(fā)布了漏洞修補(bǔ)版本。

在所有人忙得焦頭爛額的時(shí)候，病毒的始作俑者也自己站了出來(lái)。9月19日，一個(gè)名為“XcodeGhost-Auther”的新注冊(cè)微博號(hào)自稱為病毒的作者，并發(fā)文澄清，“所謂的XcodeGhost只是苦逼iOS開(kāi)發(fā)者的一次意外發(fā)現(xiàn)”，“出于私心，我在代碼中加入了廣告功能”。這些說(shuō)法遭到了業(yè)內(nèi)不少人的質(zhì)疑，還有一些人認(rèn)為，“雖然病毒作者聲稱并沒(méi)有進(jìn)行任何廣告或者欺詐行為，但不代表別人不會(huì)代替病毒作者進(jìn)行這些惡意行為。”

多人躺槍，推諉扯皮好不熱鬧

事實(shí)上，在編譯器上裝病毒的手法并不稀奇，它的學(xué)名叫做“源碼病毒”，病毒代碼附著在編譯器中。早在1984年，Ken Thompson就曾在圖靈獎(jiǎng)演講中提到過(guò)，如何在UNIX gcc編譯器中動(dòng)手腳的惡作劇。如今，當(dāng)年的惡作劇已經(jīng)變成了現(xiàn)實(shí)。只不過(guò)，病毒雖然不稀奇，但卷入事件中的各家公司的表現(xiàn)卻耐人尋味。

事件發(fā)生后，國(guó)內(nèi)多家公司都做出了回應(yīng)。《網(wǎng)易云音樂(lè)》在微博發(fā)公告稱，自家的iOS應(yīng)用確實(shí)受XcodeGhost感染病毒的影響，iPhone端部分應(yīng)用會(huì)上傳產(chǎn)品自身的部分基本信息（安裝時(shí)間、應(yīng)用ID、應(yīng)用名稱、系統(tǒng)版本、語(yǔ)言和國(guó)家），均為產(chǎn)品的系統(tǒng)信息，無(wú)法調(diào)取和泄露用戶的個(gè)人信息，由于目前感染源制作者的服務(wù)器已經(jīng)關(guān)閉，因此不會(huì)再產(chǎn)生威脅。

除了《網(wǎng)易云音樂(lè)》，《滴滴出行》也在官方微博進(jìn)行了回應(yīng)。《滴滴出行》聲稱“關(guān)于XcodeGhost的問(wèn)題，4.0版本可能會(huì)上傳產(chǎn)品部分基本信息，但不會(huì)涉及到用戶隱私。并且，感染源的服務(wù)器已被關(guān)閉，不會(huì)再產(chǎn)生任何威脅。《滴滴出行》第一時(shí)間處理了這個(gè)問(wèn)題，并已更新版本，請(qǐng)大家放心使用。”一方面承認(rèn)自己家APP會(huì)上傳部分基本信息，一方面特意強(qiáng)調(diào)不會(huì)涉及用戶隱私。而這邊忙著發(fā)微博安撫用戶，那邊騰訊則開(kāi)始揭秘整個(gè)事件。9月19日，騰訊安全應(yīng)急響應(yīng)中心發(fā)布了長(zhǎng)文，以專業(yè)的角度對(duì)XcodeGhost事件進(jìn)行還原和分析。值得注意的是，騰訊安全對(duì)自家產(chǎn)品—《微信》iOS版的漏洞只字未提。

與上述幾位相比，百度和迅雷就有些“躺槍”的意味了。事件發(fā)生后，有網(wǎng)友猜測(cè)這次XcodeGhost病毒的泛濫有可能和迅雷有關(guān)。19日凌晨，迅雷發(fā)布公告澄清，稱官方鏈接的Xcode經(jīng)迅雷下載不會(huì)被植入惡意代碼。而根據(jù)其查詢離線下載的任務(wù)記錄，染毒的Xcode6.4版本最早被迅雷會(huì)員用戶添加到離線下載中時(shí)，并非來(lái)自蘋(píng)果官方，而是來(lái)自有關(guān)網(wǎng)盤(pán)的URL。

迅雷所說(shuō)的“有關(guān)網(wǎng)盤(pán)”，毫無(wú)疑問(wèn)指的就是百度網(wǎng)盤(pán)。對(duì)此，百度方面也在9月21日作出了回應(yīng)，表示百度在事件發(fā)生后立即啟動(dòng)了最高安全緊急響應(yīng)流程，清查并關(guān)閉云盤(pán)上所有感染文件共享。百度方面還強(qiáng)調(diào)，污染包括下載工具、運(yùn)營(yíng)商下載通道等在內(nèi)的下載途徑，已經(jīng)成為地下黑色產(chǎn)業(yè)鏈牟利的重要方法，這也大大增加惡意軟件的影響范圍。相關(guān)企業(yè)應(yīng)該徹查安全隱患，排除脆弱點(diǎn)，對(duì)自身的安全體系和安全管理進(jìn)行完善。顯然，百度所說(shuō)的“相關(guān)企業(yè)”，必然包括迅雷在內(nèi)。

小編觀點(diǎn)

目前來(lái)看，XcodeGhost尚未被證實(shí)給用戶帶來(lái)什么具體損失，分析顯示，XcodeGhost代碼完全具備隨時(shí)進(jìn)行惡意行為的能力，不過(guò)到目前為止，尚無(wú)證據(jù)證實(shí)XcodeGhost被用于除收集信息以外的惡意行為。但起碼說(shuō)明，蘋(píng)果一向被認(rèn)為安全性很高的金身已經(jīng)告破。此次事件的最大影響是，它動(dòng)搖了人們對(duì)于蘋(píng)果安全的信心。有鑒于此，蘋(píng)果在事件之后需要做的還有很多，如加強(qiáng)對(duì)APP的審核機(jī)制，增加X(jué)code下載服務(wù)器等。另外，國(guó)內(nèi)眾多卷入事件的公司也不應(yīng)一味推卸責(zé)任，積極地直面問(wèn)題才是應(yīng)有之道。