搜索 新闻 资讯 游戏
您现在的位置：&&>>&&>>&&>>&&>>&正文
iOS多款App感染病毒&苹果用户应该怎么办？
编辑：kezz && 来源：sina && 发布时间： 10:41:07
　　一向号称最安全的iOS最近也不安全了，多款常用的App如网易云音乐、滴滴出行、12306等均被一个叫做XCodeGhost木马感染，并且这份名单正在不断扩大。对于不明就里的群众，此时最慌的是“ XcodeGhost是个什么东西？我们应该怎么办？”　　　　Xcode是苹果的开发工具　　　　Xcode 是苹果公司的官方开发工具，运行在操作系统 Mac OS X 上，是目前开发者开发 Mac OS 和 iOS 应用程序的最普遍的方式。
　　为什么Xcode会出问题？　　　　XcodeGhost 病毒主要通过非官方下载的 Xcode 传播，能够在开发过程中通过 CoreService 库文件进行感染，使编译出的 App 被注入第三方的代码，向指定网站上传用户数据。　　　　也就是说，开发者下载的非官方途径的Xcode带有XcodeGhost 病毒。有网友猜测是与迅雷有关，通过迅雷下载的Xcode是被修改的程序。　　　　不过在今日早间迅雷官方作出回应，称经过工程师排查，迅雷离线服务器上Xcode6.4和7.0两个版本与官方下载内容一致。　　　　暂且把国内病毒下载来源放一边，喜欢刨根问底的网友会好奇，为什么不从官方下载？　　　　许多开发者给出的答案是：官方根本下载不下来！
Mac App Store 总是很难打开的样子
　　Xcode官方下载渠道是在Mac App Store 里下载，但是很多使用Mac笔记本的网友应该了解，Mac App Store 总是很难打开的样子。　　　　因此有些着急程序员为了方便，直接使用了国内的下载工具下载，因而也就下载到了带有XcodeGhost 病毒的Xcode。　　　　解决办法　　　　对于iOS用户来说，首先不必太过慌张。XcodeGhost 病毒目前会上传产品自身的部分基本信息(安装时间，应用ID，应用名称，系统版本，语言，国家)等，不会涉及到个人信息。另外，感染制作者的服务器已关闭，已经不构成实质上的信息泄露。　　　　但需要警醒的是，之前已经有部分用户信息被发往了目标服务器，并且截至目前苹果官方并没有站出来给出解决方案，XcodeGhost病毒的“真凶”也没有抓到。对于普通用户来说，仍然需要多加小心。
微博网友“月光博客”制图
　　在上图中，中招的App都是特定的版本。网友应注意对照自己手机里App的版本，如果是上图中的版本，稳妥起见暂时不要打开，静待更新。　　　　而目前微信、下厨房等已经进行了修复并将版本修复，用户升级到新版即可。
　　此外，有用户爆料， XcodeGhost 病毒可以在未越狱的 iPhone 上伪造弹窗进行钓鱼攻击，其生成的对话窗口仿真度非常高，很难辨别，因此用户如果在之前输入过iTunes密码，那么一定要尽快进行修改。　　　　对于开发者，网络上也有给出解决办法：　　　　1、高优先级检测所有编译服务器、自动发布服务器中的Xcode 是否被感染。 2、开发者需要检查系统中所有版本的 Xcode 是否被感染。 3、如果受感染，首先删除受感染的 Xcode，然后从 Mac AppStore 或者从开发者中心下载 Xcode。 4、如果线上的应用是用受感染的Xcode 发布的过，请使用官方的 Xcode 清理、重新编译应用，然后上传AppStore，尽量向苹果说明情况，从而走 AppStore 的紧急上线流程。　　　　最新进展：自称XcodeGhost作者致歉 今日早间，有部分微博网友贴出了一个自称是XcodeGhost作者的致歉，该作者承认自己出于私心，在代码里加入了广告功能。他也提到自己在10天前，已主动关闭服务器，并删除所有数据。　　　　但这一消息截至发稿仍未得到任何官方的验证，表明此人就是XcodeGhost作者。　　　　以下是致歉原文：　　　　"XcodeGhost" Source 关于所谓”XcodeGhost”的澄清。　　　　首先，我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验，没有任何威胁性行为，详情见源代码:/XcodeGhostSource/XcodeGhost。　　　　所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现：修改Xcode编译配置文本可以加载指定的代码文件，于是我写下上述附件中的代码去尝试，并上传到自己的网盘中。　　　　在代码中获取的全部数据实际为基本的app信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型。除此之外，没有获取任何其他数据。需要郑重说明的是：出于私心，我在代码加入了广告功能，希望将来可以推广自己的应用（有心人可以比对附件源代码做校验）。但实际上，从开始到最终关闭服务器，我并未使用过广告功能。而在10天前，我已主动关闭服务器，并删除所有数据，更不会对任何人有任何影响。　　　　愿谣言止于真相，所谓的"XcodeGhost"，以前是一次错误的实验，以后只是彻底死亡的代码而已。　　　　需要强调的是，XcodeGhost不会影响任何App的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。　　　　再次真诚的致歉，愿大家周末愉快
扫描左侧二维码，可以订阅iPhone中文网官方微信。每天除了推送最新的苹果产品资讯，我们还将不定期举行有奖活动，广大网友可以积极参与，幸运随时会降临！当然，你也可微信搜索“iPhone中文网”或“apple4cn”，关注iPhone中文网官方微信，第一时间获取更多苹果资讯。
iOS越狱破解
苹果产品信息查询
热门新闻排行
皖公网安备05 皖网文许字[3号
TGBUS Corporation, All Rights Reserved听说 iPhone 都中病毒了，到底发生了什么？危害大吗？
说说 XcodeGhost 这个事
简悦云风，程序员 游戏玩家 爱攀岩
（知乎日报注：本文发表于，版权归原作者所有，知乎日报获授权转载。）
最近&&这个事挺火的，简单说就是有人在&Xcode&里植入了木马，让用这个被修改过的&Xcode&编译出来的&iOS&App&都被插入了一些代码。由于&Xcode&几乎是生成&iOS&App&的唯一手段，且国内的同学各种坏习惯早就根植在基因里了，导致了这份被种马的&Xcode&在最近半年里广泛传播，污染了一大批国产&App&。
我这里就不提那些中招的所谓大厂了，即便是大厂，有安全常识的人还是少之又少、反而是所谓大厂因为管理更困难（好多大厂到管事的那级的人更跟不上知识更新），犯安全错误的机会就更大。
这种从非官方渠道下载软件使用而中招的事情又不是第一次了。上次&&的事情过了也没多久，好了疮疤忘了痛，对吧。
种马的手法其实也不新鲜。有点年纪的程序员读书时，课本上一定教过：计算机病毒有四种形式，最后一种就叫源码病毒，感染附着在编译器中。只是估计很少人见过，后来课本就删掉了。其实呢，这个说法的源头是&Ken&Thompson&在&1984&年图灵奖演说上提到过的恶作剧。老实说&&的手法比这个高明的多。
XcodeGhost&的技术细节就不分析了，网上一搜一大堆。我想说的是这次这个东西危害问题。
这玩意有没有害？当然有。你以你名义发布的程序被人插入了一段你不知道是什么的代码，当然有危害。因为用户信任你才用你的&App&，你也不希望用户的信息被不知道什么人获取。因为理论上，你的&App&可以了解的信息，这段代码都可以得到。一旦你在&Apple&的账号系统之外又自建了用户系统，那么这个第三方（你自建的）系统的安全性一定出现了漏洞。
这也是苹果从来都不赞成第三方&App&自己搞一套生态的原因之一。你没有系统级的权限，本身就在安全性上打了折扣。
但是，你的&Apple&(iCloud)&ID&及其密码到底面临多大威胁？我认为危险是完全可控的。
首先：在&iOS&系统中，iCloud&密码是很高优先级的东西，iOS&设计人员再傻也知道要重点保护它。所以，如果通过正常的渠道，在&iOS&中输入密码，即使是通过被感染的&App&，也是不可能通过程序获取到&iCloud&密码的。唯一的手段是模拟一个输入密码的对话框引诱用户输入密码来钓鱼。
但&iOS&是如何从设计上去解决被钓鱼的安全问题呢？
没错，App&可以自己画出任何外貌的对话框，用户无从分辨是&App&画出来的还是系统画出来的。但有一点可以提供安全保护。那就是&iCloud&ID&本身在&iOS&中同样是高安全级别的信息，和密码一样，禁止&App&获取。所以你注意到没有，没当你使用&iOS&的时候，系统要求你输入&iCloud&密码，对话框上都会写明需要登录的&iCloud&ID&是什么。而不会让你在那里去输入&iCloud&ID&。唯一可能要求你输入&iCloud&ID&的地方就是&App&Store&，在别的&App&，哪怕是苹果自己的&App&里都不会做此输入要求。这赋予了用户分辨钓鱼对话框的能力。
一旦有对话框要求你输入&iCloud&ID&时，你都应该警惕是不是钓鱼。作为这种反常的输入要求，你可以回忆一下最近半年有没有遇到过，如果不确定，还是把&iCloud&的二步验证打开好了。
说到这里，微博上有同学就此反驳说，不是所有人都有这个安全意识，尤其是中老年用户。我想说，就我认识的同学的父母，更多的把&iCloud&ID&是什么都忘记了，哪里谈得到输入。几乎&iPhone / iPad&交到他们手上后，他们就没有接触过&iCloud&ID&的概念，能记得密码就不错了。
用户自己的安全当然总有一部分是靠自己的，如果系统让你输入啥你就输入啥，还用的着骗你的&iCloud&ID&吗？直接伪造一个支付界面，让你输入银行账号密码不是更直接。这，就是为什么苹果系统不让&App&自己搞支付接口的重要安全考虑之一了。
我更想吐槽的是，国内安卓平台的搞法，各个&App&都把支付平台用&SDK&接入到自己的程序里的方法，根本就是作死。别说钓鱼了（画一个一摸一样的界面还不容易？），同一进程下，即使&SDK&不是你写的代码，你也有一万种方法知道那些输入框里输入了些啥。没有沙盒隔离，不在独立进程去做支付，是无法从根本上解决安全问题的。
P.S.:对比看看国内各个支付平台的设计。有几个是把保护用户账号名作为安全设计点的？国内做平台设计的人的安全常识可见一斑。
今天，有人在微博上声称自己是&XcodeGhost&的作者，并坦言除了植入广告，并没有做什么特别有危害的事情。收集的信息仅限于作为普通&App&人人都可以收集到的。有同学核对了开源的代码，和之前逆向工程的结果做比对，认为比较可信。
我对此结论基本相信，虽有少部分说法保持怀疑，但我相信即使我用过那些被感染的&App&，我对自己的&iCloud&账号的安全还是信任的。我在微博上是这样评价的：
对于&XcodeGhost&这事,&我想说,&你的&App&不过被人插入了几行不是你写的代码发布到了&App&Store&而已,&能不能干坏事要看&iOS&的安全机制;&当你接入腾讯&SDK&等类似代码时,&成吨的不知道是啥的代码被插入你咋就不担心呢?&相比之前&360&App&利用漏洞去躲避苹果审核那些私有&API&调用,&这次安全得多啦。
为什么我要把被感染&Xcode&植入代码和接入第三方 SDK&相提并论？那就是因为&App&Store&本给了用户你最后一道信任防线，由它来证明&App&是谁开发的，而你来最终决定是否信任。而国内渠道要求乱接&SDK&的风气，早就破坏了这道防线。你用的所有国产&App&里都有可能嵌入了不是他家开发的代码。
这次被插入的代码，即使没有公开源码，规模也很小，很容易逆向分析。
安全不能全寄托在开发者的素质上，无论是有意还是无心还是过错，都有可能插入非用户期望的代码。这个信任最多是一个安全环节，前面还有苹果商店的审核、iOS&系统的沙盒等多个关卡。
P.S.:不用&SDK&的话，正确的做法是什么？第三方平台提供接入手册，告诉接入方用什么协议去跳转到相关&App&里去认证。如果用户没有装你的&App ，就应该打开系统的浏览器做&web&授权。
说起苹果商店的审核制度，没有技术背景的同学总觉得这事或多或少要怪苹果审核不力。这是个严重的误解。苹果审核没有能力去靠静态分析，和有限的人力去了解一个&App&到底能干什么时候，会弹什么窗口。就算你拿源代码去审核他们也办不到。
苹果审核只能确定你的&App&调用了哪些系统&API&，这些被允许调用的&API&是被安全认证过的，基本不会逃逸出沙盒去获取非法信息。这就是为什么苹果要在&iOS&上禁止&JIT&，禁止动态加载原生代码的原因。一旦允许&JIT&或动态加载原生代码（你可以过审后从网上下载一段未被审核的代码运行），App&就可以在运行时调用那些被禁止的&API&。
当然，审核并不是&iOS&最后的安全手段，最关键还是&iOS&自身的沙盒隔离。审核只是多做一层防护，相当于开个白名单，减少沙盒的安全漏洞被利用的可能性。至于沙盒这最后一道(也是最重要的)防线，就要求用户你不要去搞什么越狱啦。
昨天，有同学给过我一个链接，说其实未越狱的&iPhone&也可以被钓鱼。
其中的截图还被人危言耸听的拿出去作为这次&XcodeGhost&可以被用于钓鱼的证据。
其实无论你有没有特别的技术背景，只要中文理解能力够，就可以读懂上文中的技术重点。
它其实说的是一个漏洞让程序可以后台讲对话框弹到别的应用里。但这里有一个重要的前提条件：安装钓鱼&App&到目标设备。在这个漏洞还存在时，这个钓鱼&App&也无法逃过苹果审核的静态分析一关。
另外，钓鱼成功还依赖钓鱼者知道用户的&Apple&ID&，而这点目前依旧无法办到。让我们看看文中提到的非法获取&Apple&ID&的&&的简单分析。我们可以知道几点信息：首先，这个安全漏洞在&iOS&8&就补上了，其次，利用这个漏洞需要调用私有&API&，依然是过不了苹果审核的。
这些都不可能用于目前的&XcodeGhost&。这正说明了，&iOS&的层层安全措施有效且必要。
无论如何，作为一个中国人，若想尽量保障自己的隐私安全，加强安全意识还是非常重要的。选用安全的操作系统，勤快地升级，小心选择不会被社工的密码，且保护好你的账户名。
客官，这篇文章有意思吗？建议使用以上版本或、浏览器访问本站，获得更好的用户体验。Connection Error!