禍起，XcodeGhost

陳文

平地驚雷，病毒事件持續(xù)發(fā)酵

9月17日上午，《猿題庫》iOS開發(fā)工程師唐巧發(fā)了一條微博，公布了他自己組建的iOS技術(shù)群里關(guān)于Xcode漏洞的討論結(jié)果，并附上了軟件是否包含Xcode惡意代碼的檢驗(yàn)方式。由于唐巧在iOS圈內(nèi)的影響力，他的微博迅速被阿里移動(dòng)安全資深工程師蒸米關(guān)注。9月17日下午1點(diǎn)，蒸米拿到了病毒樣本，并開始進(jìn)行初步分析，在和同事討論后，他們決定給這個(gè)樣本起名為“XcodeGhost”，并于當(dāng)天下午5點(diǎn)寫成了業(yè)界第一篇分析報(bào)告《XCode編譯器里有鬼— XCodeGhost樣本分析》發(fā)表在烏云網(wǎng)上。

烏云網(wǎng)是位于廠商和安全研究者之間的漏洞報(bào)告平臺(tái)。經(jīng)過烏云網(wǎng)的曝光，這件原本只在互聯(lián)網(wǎng)安全圈子里的事件發(fā)酵開來，后有媒體開始介入報(bào)道，甚至有部分用戶開始產(chǎn)生恐慌情緒。在隨后的兩天內(nèi)，這個(gè)影響上億用戶的互聯(lián)網(wǎng)安全大事件，讓無數(shù)程序員在剛剛過去的這個(gè)周末加班熬夜打補(bǔ)丁。據(jù)不完全統(tǒng)計(jì)，有數(shù)百個(gè)APP牽涉其中，并且不乏《微信》、《網(wǎng)易云音樂》、《高德地圖》和《同花順》等知名APP。

一個(gè)漏洞為什么會(huì)攪起這么大的風(fēng)波？有個(gè)形象的比喻是—“炒菜的鍋都不干凈，還能指望端上桌的菜沒有問題嗎？”簡(jiǎn)單來說，Xcode是iOS系統(tǒng)下程序員最常用的開發(fā)工具，由蘋果官方提供給開發(fā)者，它幾乎是生成iOS應(yīng)用的唯一工具。遺憾的是，蘋果官方的下載源因?yàn)楸娝苤脑蛳螺d極慢，再加上國(guó)內(nèi)“碼農(nóng)”養(yǎng)成用百度搜索來下載各類應(yīng)用工具的習(xí)慣，從而導(dǎo)致了XcodeGhost病毒的廣泛傳播。

9月18日，美國(guó)硅谷的palo alto networks安全公司也分析完了XcodeGhost樣本，并發(fā)表了分析報(bào)告，提到《網(wǎng)易云音樂》等多家APP被感染。隨后，一直沉默的蘋果終于給出了回應(yīng)，聲稱這次安全事件是黑客誘騙應(yīng)用開發(fā)者使用了修改過的蘋果應(yīng)用開發(fā)工具Xcode，從而將惡意代碼注入至這些應(yīng)用。不過，蘋果并沒有透露，iOS用戶采取哪種方式，來判斷自己設(shè)備中有哪些應(yīng)用是被感染的。在開發(fā)者們忙著遞交APP修補(bǔ)版本時(shí)，蘋果也改掉了往日慢悠悠的性子，加快了審核速度。很快，《網(wǎng)易云音樂》、《滴滴出行》和《微信》等APP都發(fā)布了漏洞修補(bǔ)版本。

在所有人忙得焦頭爛額的時(shí)候，病毒的始作俑者也自己站了出來。9月19日，一個(gè)名為“XcodeGhost-Auther”的新注冊(cè)微博號(hào)自稱為病毒的作者，并發(fā)文澄清，“所謂的XcodeGhost只是苦逼iOS開發(fā)者的一次意外發(fā)現(xiàn)”，“出于私心，我在代碼中加入了廣告功能”。這些說法遭到了業(yè)內(nèi)不少人的質(zhì)疑，還有一些人認(rèn)為，“雖然病毒作者聲稱并沒有進(jìn)行任何廣告或者欺詐行為，但不代表別人不會(huì)代替病毒作者進(jìn)行這些惡意行為?！?/p>

多人躺槍，推諉扯皮好不熱鬧

事實(shí)上，在編譯器上裝病毒的手法并不稀奇，它的學(xué)名叫做“源碼病毒”，病毒代碼附著在編譯器中。早在1984年，Ken Thompson就曾在圖靈獎(jiǎng)演講中提到過，如何在UNIX gcc編譯器中動(dòng)手腳的惡作劇。如今，當(dāng)年的惡作劇已經(jīng)變成了現(xiàn)實(shí)。只不過，病毒雖然不稀奇，但卷入事件中的各家公司的表現(xiàn)卻耐人尋味。

事件發(fā)生后，國(guó)內(nèi)多家公司都做出了回應(yīng)?！毒W(wǎng)易云音樂》在微博發(fā)公告稱，自家的iOS應(yīng)用確實(shí)受XcodeGhost感染病毒的影響，iPhone端部分應(yīng)用會(huì)上傳產(chǎn)品自身的部分基本信息（安裝時(shí)間、應(yīng)用ID、應(yīng)用名稱、系統(tǒng)版本、語言和國(guó)家），均為產(chǎn)品的系統(tǒng)信息，無法調(diào)取和泄露用戶的個(gè)人信息，由于目前感染源制作者的服務(wù)器已經(jīng)關(guān)閉，因此不會(huì)再產(chǎn)生威脅。

除了《網(wǎng)易云音樂》，《滴滴出行》也在官方微博進(jìn)行了回應(yīng)。《滴滴出行》聲稱“關(guān)于XcodeGhost的問題，4.0版本可能會(huì)上傳產(chǎn)品部分基本信息，但不會(huì)涉及到用戶隱私。并且，感染源的服務(wù)器已被關(guān)閉，不會(huì)再產(chǎn)生任何威脅?！兜蔚纬鲂小返谝粫r(shí)間處理了這個(gè)問題，并已更新版本，請(qǐng)大家放心使用?！币环矫娉姓J(rèn)自己家APP會(huì)上傳部分基本信息，一方面特意強(qiáng)調(diào)不會(huì)涉及用戶隱私。而這邊忙著發(fā)微博安撫用戶，那邊騰訊則開始揭秘整個(gè)事件。9月19日，騰訊安全應(yīng)急響應(yīng)中心發(fā)布了長(zhǎng)文，以專業(yè)的角度對(duì)XcodeGhost事件進(jìn)行還原和分析。值得注意的是，騰訊安全對(duì)自家產(chǎn)品—《微信》iOS版的漏洞只字未提。

與上述幾位相比，百度和迅雷就有些“躺槍”的意味了。事件發(fā)生后，有網(wǎng)友猜測(cè)這次XcodeGhost病毒的泛濫有可能和迅雷有關(guān)。19日凌晨，迅雷發(fā)布公告澄清，稱官方鏈接的Xcode經(jīng)迅雷下載不會(huì)被植入惡意代碼。而根據(jù)其查詢離線下載的任務(wù)記錄，染毒的Xcode6.4版本最早被迅雷會(huì)員用戶添加到離線下載中時(shí)，并非來自蘋果官方，而是來自有關(guān)網(wǎng)盤的URL。

迅雷所說的“有關(guān)網(wǎng)盤”，毫無疑問指的就是百度網(wǎng)盤。對(duì)此，百度方面也在9月21日作出了回應(yīng)，表示百度在事件發(fā)生后立即啟動(dòng)了最高安全緊急響應(yīng)流程，清查并關(guān)閉云盤上所有感染文件共享。百度方面還強(qiáng)調(diào)，污染包括下載工具、運(yùn)營(yíng)商下載通道等在內(nèi)的下載途徑，已經(jīng)成為地下黑色產(chǎn)業(yè)鏈牟利的重要方法，這也大大增加惡意軟件的影響范圍。相關(guān)企業(yè)應(yīng)該徹查安全隱患，排除脆弱點(diǎn)，對(duì)自身的安全體系和安全管理進(jìn)行完善。顯然，百度所說的“相關(guān)企業(yè)”，必然包括迅雷在內(nèi)。

小編觀點(diǎn)

目前來看，XcodeGhost尚未被證實(shí)給用戶帶來什么具體損失，分析顯示，XcodeGhost代碼完全具備隨時(shí)進(jìn)行惡意行為的能力，不過到目前為止，尚無證據(jù)證實(shí)XcodeGhost被用于除收集信息以外的惡意行為。但起碼說明，蘋果一向被認(rèn)為安全性很高的金身已經(jīng)告破。此次事件的最大影響是，它動(dòng)搖了人們對(duì)于蘋果安全的信心。有鑒于此，蘋果在事件之后需要做的還有很多，如加強(qiáng)對(duì)APP的審核機(jī)制，增加Xcode下載服務(wù)器等。另外，國(guó)內(nèi)眾多卷入事件的公司也不應(yīng)一味推卸責(zé)任，積極地直面問題才是應(yīng)有之道。