XcodeGhost事件或成年內(nèi)最嚴(yán)重信息安全事件

商業(yè)安全評(píng)估機(jī)構(gòu)與應(yīng)用軟件開發(fā)者等認(rèn)為，這次iOS系統(tǒng)受XcodeGhost木馬后門感染事件，一定是有組織、有預(yù)謀的團(tuán)隊(duì)所為，而絕非一般 黑客做“實(shí)驗(yàn)”這么簡(jiǎn)單，該事件或?qū)⒊蔀榻衲陣鴥?nèi)最嚴(yán)峻 的信息安全事件。

XcodeGhost事件仍在持續(xù)發(fā)酵。 9月14日，國家互聯(lián)網(wǎng)應(yīng)急中心在官網(wǎng)公布了“關(guān)于使用非蘋果官方Xcode存在植入惡意代碼情況的預(yù)警通報(bào)”。通報(bào)稱，國內(nèi)開發(fā)者使用非蘋果公司官方渠道的Xcode工具開發(fā)蘋果應(yīng)用程序時(shí)，會(huì)向正常的蘋果App植入惡意代碼，這些受感染的蘋果App可以在App Store正常下載并安裝，且惡意代碼具有信息竊取行為，并可進(jìn)行惡意遠(yuǎn)程操縱 的功能。

近日，業(yè)界知情人士稱，這次iOS系統(tǒng)木馬入侵事件，已導(dǎo)致大約1億左右蘋果手機(jī)用戶受到感染影響，另由Unity開發(fā)引擎開發(fā)的游戲軟件也可能已被“投毒”，這意味著不僅是蘋果系統(tǒng)手機(jī)“中槍”，包括微軟和安卓系統(tǒng)在內(nèi)的部分游戲軟件同樣存在感染XcodeGhost木馬的安全風(fēng)險(xiǎn)。

XcodeGhost事件雖然沒有在用戶群引起廣泛關(guān)注，但對(duì)于軟件開發(fā)者而言是一次不小的地震。技術(shù)人員表示，號(hào)稱全球安全系數(shù)最高的手機(jī)系統(tǒng)蘋果iOS被悄無聲息地攻破，進(jìn)攻者入侵后還可快速全身而退，絕非常人能所及。

業(yè)內(nèi)專家龍威廉向《財(cái)經(jīng)》記者分析，主導(dǎo)者至少準(zhǔn)備了半年甚至更長(zhǎng)時(shí)間，因?yàn)?月份國內(nèi)一些軟件開發(fā)的專業(yè)論壇，就出現(xiàn)過大量推廣下載Xcode進(jìn)行軟件開發(fā)的帖子。

主導(dǎo)者先將正版蘋果App開發(fā)包 Xcode的源代碼進(jìn)行修改嵌入惡意代碼，而后將修改的開發(fā)包上傳至百度網(wǎng)盤，并不斷在各大論壇刷帖，提高關(guān)鍵詞熱度使其不斷優(yōu)化得到推廣，當(dāng)軟件開發(fā)者在搜索引擎輸入Xcode等關(guān)鍵詞時(shí)，這個(gè)仿冒的開發(fā)包就會(huì)被自動(dòng)推送到上端，并最終鏈接到百度網(wǎng)盤的網(wǎng)址，供開發(fā)者下載使用。

開發(fā)者會(huì)優(yōu)先下載使用百度網(wǎng)盤的數(shù)據(jù)，是緣于正版的 Xcode下載速度過慢，據(jù)悉蘋果正版軟件開發(fā)包容量有5GB，以國內(nèi)網(wǎng)速而言，需要很長(zhǎng)時(shí)間。百度網(wǎng)盤只需很短時(shí)間就可完成下載。App軟件開發(fā)者在使用這個(gè)開發(fā)包時(shí)，很難辨識(shí)出其中是否暗藏有木馬，因?yàn)閄code嵌入的惡意代碼屬于二進(jìn)制代碼，開發(fā)過程中可通過Core Service庫文件進(jìn)行感染，具有極高的隱秘性和迷惑性，需對(duì)源代碼進(jìn)行編譯后再用專業(yè)的抓包工具進(jìn)行檢測(cè)，才可能發(fā)現(xiàn)疑似病毒。

“無論是國內(nèi)軟件開發(fā)者還是蘋果公司的安全人員，都沒有預(yù)料也很難發(fā)現(xiàn)這個(gè)漏洞?！币晃恢槿耸糠Q，Xcode事件的主導(dǎo)者能成功躲過安全系統(tǒng)的層層審核，至少說明當(dāng)事者對(duì)蘋果安全審核機(jī)制以及國家監(jiān)管體系等都非常清楚，才能做到在中國本土化的iOS系統(tǒng)安插“后門”，搜集用戶信息。

9月16日，騰訊安全中心和360公司的技術(shù)人員陸續(xù)發(fā)現(xiàn)，蘋果iOS系統(tǒng)App Store上的Top5000應(yīng)用有數(shù)百款被該木馬感染。其中包括裝機(jī)量過億的微信iOS（6.2.5版）、高德地圖（7.3.8版）以及中信銀行動(dòng)卡空間（3.3.12版）、中國聯(lián)通網(wǎng)上營(yíng)業(yè)廳（3.2版）、滴滴打車（3.9.7版）、網(wǎng)易云音樂（2.8.3版）、51卡保險(xiǎn)箱（5.0.1版）、同花順（9.26.03版）、喜馬拉雅（4.3.8版）等。

9月19日，一位自稱是XcodeGhost事件主導(dǎo)者的網(wǎng)友發(fā)微博聲明稱，這只是實(shí)驗(yàn)項(xiàng)目，無任何危險(xiǎn)，更不會(huì)獵取 用戶的隱私數(shù)據(jù)。微博強(qiáng)調(diào)其搜集的數(shù)據(jù)都是App 的基本信息，如應(yīng)用號(hào)、系統(tǒng)版本號(hào)、設(shè)備名等，且于9月9日就主動(dòng)關(guān)閉了服務(wù)器并刪除所有數(shù)據(jù)。

對(duì)此，9月20日，蘋果方面回應(yīng)稱，在這次攻擊中，黑客誘騙應(yīng)用開發(fā)者使用了修改過的蘋果應(yīng)用開發(fā)工具Xcode，并將惡意代碼注入這些應(yīng)用。

蘋果發(fā)言人克里斯汀·莫納漢（Christine Monaghan）則在一封電子郵件中表示，蘋果工作人員已從iOS App Store中刪除了這些基于偽造工具開發(fā)的應(yīng)用，并與開發(fā)者合作，確保他們使用合適版本的Xcode去重新開發(fā)應(yīng)用。

據(jù)悉，這也是App Store首次遭遇大規(guī)模信息安全攻擊。

有技術(shù)專家表示，雖然搜集信息的服務(wù)器已被關(guān)閉，但并不代表其他黑客不會(huì)利用已被攻破的路徑或類似路徑，去操縱 被感染用戶的手機(jī)。專家建議，被感染用戶需及時(shí)刪除和更新被感染木馬的APP，否則仍將存在個(gè)人信息泄露和被搜集其他信息的安全隱患。

按照Xcode嵌入代碼的設(shè)計(jì)，其可隨時(shí)向被感染手機(jī)發(fā)送指令，如強(qiáng)制彈出廣告，獵取 更多個(gè)人信息。這意味著，被感染用戶收到銀行App系統(tǒng)發(fā)送的輸入賬戶和密碼指令，有可能并不是由銀行發(fā)出。消息人士進(jìn)一步指出，事件中已知4家國有大型銀行App中招感染了該木馬。

中國市場(chǎng)有4億5千萬臺(tái)智能手機(jī)設(shè)備，其中約有1億3千萬臺(tái)安裝了蘋果系統(tǒng)。據(jù)商業(yè)安全機(jī)構(gòu)的評(píng)估測(cè)算，這次XcodeGhost事件至少導(dǎo)致1億左右的iOS系統(tǒng)用戶“中毒”。

一波未平一波又起。

9月23日上午，百度安全實(shí)驗(yàn)室發(fā)現(xiàn)Unity3D等多款用于游戲開發(fā)的工具，同樣被插入了類似XcodeGhost的惡意代碼，該惡意代碼目前被阿里移動(dòng)安全團(tuán)隊(duì)命名為“Unity Ghost”。

據(jù)悉Unity可公布游戲至Windows、OS X、Wii、iPhone、Windows phone 8和Android平臺(tái)。一些軟件開發(fā)團(tuán)隊(duì)（盤古越獄團(tuán)隊(duì)等）證實(shí)，部分游戲開發(fā)引擎的安卓版已被感染“Unity Ghost”。

中國互聯(lián)網(wǎng)領(lǐng)域研究人員介紹說，近年來中國互聯(lián)網(wǎng)安全受到了極大挑戰(zhàn)。去年包括如家和漢庭在內(nèi)的一半左右經(jīng)濟(jì)型酒店的開房記錄數(shù)據(jù)庫被攻破；今年中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）頒發(fā)了一個(gè)可用于中間人攻擊的SSL證書，被谷歌Chrome掃瞄 器和火狐掃瞄 器禁止；5月底，攜程的根數(shù)據(jù)庫被格式化；7月份百度被劫持；以及9月份蘋果iOS系統(tǒng)被木馬入侵等。

“就目前情況相比較而言，XcodeGhost木馬入侵事件，很有可能成為今年最嚴(yán)峻 的信息安全事件。”上述研究人員表示，這次攻擊三個(gè)月至少花費(fèi)50萬美元，而對(duì)于大投入?yún)s未見收益就戛然而止的項(xiàng)目，個(gè)人或商業(yè)機(jī)構(gòu)一般不會(huì)去做，也就是說此事必定為掌握大量關(guān)鍵資源和大量資金支持的團(tuán)隊(duì)長(zhǎng)期部署所為。

《財(cái)經(jīng)》記者還獲悉，XcodeGhost事件爆發(fā)后，除商業(yè)安全評(píng)估機(jī)構(gòu)和業(yè)界技術(shù)專家在關(guān)注外，互聯(lián)網(wǎng)辦公室與工信部等國家高層監(jiān)管系統(tǒng)，也在緊密監(jiān)控該事件進(jìn)展動(dòng)向。

iOS系統(tǒng)失守，國內(nèi)的安卓系統(tǒng)則更不容樂觀。據(jù)獵豹移動(dòng)安全實(shí)驗(yàn)室公布的《2014-2015中國互聯(lián)網(wǎng)安全研究報(bào)告》顯示，去年全球感染病毒的安卓手機(jī)計(jì)2.8億部，平均每天80萬部安卓手機(jī)中毒，中國以近1.2億部手機(jī)中毒高居榜首，中國已成為全球受安卓病毒之害最嚴(yán)峻 的國家。

從立法層面，如何幸免大數(shù)據(jù)時(shí)代技術(shù)為刀俎，用戶為魚肉，確保用戶信息安全，仍將是一個(gè)值得持續(xù)深思的問題。