日前中國各安全論譠爆出有開發人員改寫了蘋果專為Mac OS X與iOS所設計的Xcode程式開發環境,並將改寫過後的XcodeGhost版本置放在百度的雲端分享服務上,造成許多行動程式受到影響,不過,自稱為XcodeGhost作者的開發人員已將XcodeGhost放到GitHub,並宣稱這只是一次的錯誤的實驗,沒有任何威脅行為。
這名作者宣稱自己為iOS開發人員,意外發現修改Xcode的編譯配置文本可以加載指定的程式碼文件,於是他加入了自己的程式碼,並上傳到雲端硬碟上。
他說透過該程式碼可獲得的數據為基本的行動程式資訊,從名稱、語言、國家名、程式安裝時間、設備名稱與設備類型等,並未攫取其他數據,雖然嵌入了廣告功能,但他從未啟用該功能。另也強調XcodeGhost不會影響任何行動的使用或違害使用者的隱私權,他在十天前便已關閉伺服器並刪除所有數據。他說:「(XcodeGhost)以前是一次錯誤的實驗,以後只是徹底死亡的代碼而已。」
SANS發布訊息指出,XCodeGhost作者已經將該程式發布於Github,SANS除了說明一些初步分析的發現,也建議企業,在防火牆內或proxies logs裡透過http://init.icloud-analysis.com檢查iOS的HTTP流量,然後移除那些被列為惡意程式的app。同時,記得更改被惡意app存取過的網站密碼。而對於開發者SANS則建議,檢查Xcode SDK/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/是否有Library/Frameworks/CoreServices.framework/CoreService檔案。並提醒開發者,任何資源永遠都只透過官網下載。
資安業者Palo Alto Networks認為,XcodeGhost是一個有害且危險的惡意程式,它不但能繞過蘋果的程式審核機制,也能對iOS生態展開攻擊,可能被不法份子用來存取iOS裝置。
XcodeGhost在網路上流竄的結果讓許多知名的行動程式都中了招,也創下蘋果史上最大的一次惡意程式入侵紀錄。蘋果已移除了App Store中受到影響的程式,但並未公布所移除的程式數量,根據奇虎360估計,總計有344款行動程式受到XcodeGhost的感染,受到波及的使用者數量可能超過1億。
雖然XcodeGhost主要影響了中國的開發人員,但中國所開發的微信或CamCard等行動程式在其他市場也頗受歡迎,使得全球市場也受到波及。
目前除了蘋果已移除App Store中以XcodeGhost開發的程式之外,百度與迅雷等雲端服務亦宣稱都移除了XcodeGhost檔案,受到波及的行動程式亦陸續釋出更新版。(編譯/陳曉莉)