受XcodeGhost感染的iOS程式數量持續增加,從最初估計的數十款,擴大到數百款、上千款,資安業者FireEye甚至表示,該公司所偵測到的已超過4000款。
Xcode是蘋果裝置平台的開發工具套件,先前有中國的開發者在裡面注入惡意程式碼,並放到雲端硬碟中散播,導致許多中國開發者使用之後造成app染毒。阿里巴巴研究人員並將它命名為XcodeGhost。
XcodeGhost中所添增的程式碼可以將各種程式訊息、設備名稱與設備類型傳送到遠端的命令暨控制伺服器(CnC),也可自CnC接收遠端命令,或是開啟特定網頁,雖然XcodeGhost作者表示已經關閉關CnC伺服器,但採用XcodeGhost的程式還是會持續傳遞訊息至CnC伺服器,而且流量並未加密。
FireEye指出,他們已在App Store中發現超過4000款行動程式是以XcodeGhost所開發,而未加密的傳輸可能會導致其他駭客利用此一機會挾持流量並進行其他攻擊。
根據XcodeGhost作者的說法,他意外發現蘋果的Xcode可以嵌入其他程式,所以他便打造了XcodeGhost,除了傳遞程式與裝置訊息外,也加入了廣告功能,打算推廣他自己的應用程式,但從未啟用過廣告機制,這只是一個實驗性的作品,並沒有任何威脅行為,同時他已關閉伺服器及刪除了所有的數據。
而蘋果則僅說已刪除了App Store中基於冒牌Xcode所建置的程式,並未公布遭到刪除的程式數量。此外,蘋果亦鼓勵開發人員直接自Mac App Store或Apple Developer網站下載Xcode,若要從第三方來源下載Xcode,也應透過Gatekeeper驗證Xcode的真偽。(編譯/陳曉莉)