許多臺(tái)灣人因?yàn)榻?jīng)商頻繁或朋友往來(lái)中國(guó)之故��,在手機(jī)上安裝許多中國(guó)的手機(jī)應(yīng)用程式或服務(wù)�����。除了 Android 平臺(tái)手機(jī)品牌小米�����、華為等,通常許多臺(tái)商最信賴的就是 Apple 的 iOS 裝置����,如 iPhone 或 iPad 等。這樣的信賴是建立在 AppStore 審查的應(yīng)用程式�,通常保證了一定的穩(wěn)定性與安全性。但在本週�����,這種信賴恐怕將產(chǎn)生了變化���。
知名的開放資訊安全中文漏洞報(bào)告平臺(tái) Wooyun 在 9 月 17 日披露了部分 iOS Apps 可能存在安全性問題��,這些 Apps 會(huì)在使用時(shí)自動(dòng)向特定網(wǎng)站上傳資訊���。這些 Apps 都是以受到第三方原始碼污染的 Apple 開發(fā)工具 Xcode 所編譯,因此編譯完成的 Apps 的包裝里帶有(通常稱做被注入木馬)第三方放入的特定資訊�����。進(jìn)而產(chǎn)生上述的安全問題�����。
這個(gè)問題可能主要源自于中國(guó)境內(nèi)目前的“實(shí)體網(wǎng)路管制”。雖然 Apple 的開發(fā)工具 Xcode 是幾近免費(fèi)提供給所有的開發(fā)者�,其要求 Apple 的開發(fā)者需要具備可以運(yùn)作 Mac OSX 的電腦(也就是 Apple 的 PC 或 Notebook)���,如果要公開發(fā)布 Apps���,則需負(fù)擔(dān)每年約 3000 元新臺(tái)幣的開發(fā)者帳號(hào),但因許多中國(guó)開發(fā)者在連往位于美國(guó)的 Apple 伺服器下載 Xcode 時(shí)����,會(huì)受到中國(guó)目前實(shí)體網(wǎng)路存在有俗稱為網(wǎng)路長(zhǎng)城的過(guò)濾機(jī)制干擾,導(dǎo)致下載速度十分緩慢���,甚至容易斷線�����。
這些開發(fā)者可能就會(huì)選擇其他開發(fā)者事前已經(jīng)下載完畢����,并儲(chǔ)存在中國(guó)境內(nèi)流行的云儲(chǔ)存服務(wù)���,例如百度云的網(wǎng)路空間上���。這些轉(zhuǎn)向下載的行為讓木馬開發(fā)者有了動(dòng)手腳的空間��,將經(jīng)過(guò)第三方原始碼污染的 Xcode 放在百度云上�����,再透過(guò)中文的開發(fā)者論壇或微博的傳散����,將有問題的開發(fā)者工具 Xcodeghost 散布給中國(guó)眾多的 Apple 開發(fā)者����,按照 Wooyun 知識(shí)庫(kù)所稱,這可能是在許多中文 iOS 論壇與微博中�����,網(wǎng)名 codefun 的個(gè)人或團(tuán)體所為����。
(圖說(shuō):這次的XcodeGhost事件,主要可能因?yàn)橹袊?guó)網(wǎng)路長(zhǎng)城的管制造成開發(fā)者誤用了非官方的污染開發(fā)套件)
開發(fā)者使用 XcodeGhost 進(jìn)行開發(fā)并編譯 apps 時(shí)����,apps 會(huì)自動(dòng)包含一段程式碼��,取得 iPhone 或 Apps 的一些基本資料�����,包含時(shí)間、Apps名稱��、Apps的bundle ID(Apps程式包ID)�、Apps名稱、作業(yè)系統(tǒng)版本��、手機(jī)型號(hào)���、手機(jī)版本別���、系統(tǒng)語(yǔ)言、國(guó)家等���,并將上述這些欄位資料上傳至 init.icloud-analysis.com�,這是放毒者所注冊(cè)用于蒐集上述資料的網(wǎng)址���,目前該站與伺服器已經(jīng)關(guān)閉�����,并且很難查出相關(guān)的注冊(cè)資訊���。
這些蒐集資訊的行為對(duì)于 Apps 開發(fā)商來(lái)說(shuō)是很正常的過(guò)程�����,因此 Apple 的 Appstore 在隱私權(quán)保護(hù)的範(fàn)圍內(nèi)并不會(huì)太過(guò)關(guān)心這樣的程式碼����,也因此受到污染的 Xcodeghost 可以橫行一段時(shí)間�����。
為了避免在網(wǎng)路上下載相關(guān)的應(yīng)用程式有被污染之嫌��,一種常見的作法�����,是透過(guò)特定的演算法對(duì)下載完成的檔案演算出特定獨(dú)一無(wú)二的號(hào)碼�,與網(wǎng)站所公布的進(jìn)行校驗(yàn)比對(duì)���。但這樣仍有可能無(wú)法防止假冒或惡意散布被污染過(guò)的程式橫行。
本次已經(jīng)知道受到 XcodeGhost 所影響的 iOS 平臺(tái)應(yīng)用程式��,主要包含臺(tái)灣人常用的微信�����、名片全能王��、滴滴出行(原滴滴打車�����,本月份升級(jí)改名)����、12306(中國(guó)鐵道部票務(wù)應(yīng)用程式)����、掃描全能王(CamScanner)、微博相機(jī)���、豆瓣閱讀�、高德地圖、中國(guó)聯(lián)通手機(jī)營(yíng)業(yè)廳��、中信銀行動(dòng)卡空間(大陸中信銀行客戶之行動(dòng)銀行專用應(yīng)用程式)等等�����。
微信團(tuán)隊(duì)在其官方微博上面做出的公開聲明表示:“目前確認(rèn)Xcodeghost所影響的問題存在于微信 iOS 6.2.5���,建議使用者可以盡快透過(guò)升級(jí)微信應(yīng)用程式修復(fù)����。目前沒有發(fā)現(xiàn)這個(gè)問題造成用戶的直接影響���,包含資訊或財(cái)產(chǎn)的直接損失�����,但微信團(tuán)隊(duì)仍會(huì)持續(xù)關(guān)注和監(jiān)測(cè)���。”
滴滴出行也在其官方微博發(fā)表聲明,表示團(tuán)隊(duì)在第一時(shí)間得知就已經(jīng)處理這個(gè)發(fā)生于 4.0 版本“滴滴出行”的問題:“已經(jīng)在 9月 19日更新為 4.1.0 版���,大家可以更新新版和放心使用�。感染源的伺服器已經(jīng)被關(guān)閉,不會(huì)再產(chǎn)生任何威脅”
根據(jù)資安廠商 Polo Alto Network 的整理����,透過(guò)不同的網(wǎng)站報(bào)導(dǎo)或資訊安全公司測(cè)試,以下的 iOS 應(yīng)用程式(不計(jì)游戲類)已經(jīng)確認(rèn)受到污染�,污染範(fàn)圍可能會(huì)隨著測(cè)試增加逐漸擴(kuò)大。
具稱是 XcodeGhost 的原始作者在微博上澄清表示����,這個(gè) XcodeGhost 其實(shí)是他自己的資訊安全技術(shù)實(shí)驗(yàn),他發(fā)現(xiàn)修改 Xcode 編譯設(shè)定腳本可以加上使用者自己指定的程式檔案����,所以他寫下了這個(gè)程式測(cè)試,并上傳到自己的網(wǎng)路空間上����。他表示����,除了上述的基本應(yīng)用程式資訊外,他另外在程式里加入了網(wǎng)路廣告的功能���,希望將來(lái)可以推廣自己的應(yīng)用程式�,但他實(shí)際上并未使用過(guò)廣告功能,且已經(jīng)刪除所有數(shù)據(jù)����,希望不會(huì)對(duì)任何人有任何影響。隨后�,作者并將其本次實(shí)驗(yàn)所有的程式碼公布在 Github 上。
《數(shù)位時(shí)代》建議讀者�,可以將你手中常用的 iOS 中國(guó)市場(chǎng)應(yīng)用程式整理成幾個(gè)專用的資料夾,時(shí)常透過(guò)更新注意這些應(yīng)用程式背后的團(tuán)隊(duì)���,是否已經(jīng)快速針對(duì)這個(gè)問題進(jìn)行處置����。這個(gè)事件也通常提醒許多大型軟體與服用應(yīng)用開發(fā)商�,應(yīng)該成立專責(zé)的團(tuán)隊(duì),針對(duì)開發(fā)與部屬環(huán)境進(jìn)行嚴(yán)苛的控管��、測(cè)試與整理�。
文章來(lái)源:機(jī)房監(jiān)控 http://qdlanhai.cn
