xCodeGhost事件仍然在持續(xù)發(fā)酵。

　　由于國(guó)內(nèi)部分知名軟件公司使用了第三方下載提供的修改版蘋(píng)果xCode開(kāi)發(fā)工具，導(dǎo)致經(jīng)過(guò)這些版本開(kāi)發(fā)并發(fā)行的iOS APP被植入后門(mén)。

　　xCodeGhost影響有多大？

　　9月19日早8點(diǎn)，360旗下涅槃團(tuán)隊(duì)掃描14.5萬(wàn)多個(gè)APP后得到的結(jié)果顯示，有344款A(yù)PP感染了XcodeGhost木馬。其中包括百度音樂(lè)、微信、高德、 滴滴、花椒、58同城、網(wǎng)易云音樂(lè)、12306、同花順、南方航空、工行融e聯(lián)、重慶銀行等用戶量很廣的APP，涉及互聯(lián)網(wǎng)、金融、鐵路航空、游戲等眾多領(lǐng)域。

　　從涅槃團(tuán)隊(duì)披露的列表來(lái)看，擁有海量用戶的BAT公司旗下應(yīng)用均有中招。騰訊安全應(yīng)急響應(yīng)中心分析了76款被XCodeGhost感染的APP后認(rèn)為，保守估計(jì)受這次事件影響的用戶數(shù)超過(guò)一億。

xCodeGhost到底是不是病毒？

　　于9月17日注冊(cè)的微博用戶XcodeGhost-Author發(fā)文表示對(duì)xCodeGhost負(fù)責(zé)。

　　在其發(fā)表的微博中，XcodeGhost-Author稱(chēng)，XcodeGhost源于其自己的實(shí)驗(yàn)，沒(méi)有任何威脅性行為，只是一段已經(jīng)“徹底死亡的代碼”而已。作者稱(chēng)，在10天前其就將APP上傳信息的服務(wù)器關(guān)閉并刪除了收集的數(shù)據(jù)。XcodeGhost-Author同時(shí)在Github上公布了XcodeGhost的源代碼，以便讓第三方機(jī)構(gòu)或個(gè)人驗(yàn)證其說(shuō)法的真實(shí)性。

　　騰訊安全應(yīng)急響應(yīng)中心從技術(shù)角度分析了xCodeGhost的行為，將XcodeGhost歸為“病毒”。根據(jù)騰訊安全應(yīng)急響應(yīng)中心的分析，受感染的iOS APP在啟動(dòng)、運(yùn)行、退出時(shí)，會(huì)上報(bào)信息到黑客控制的服務(wù)器上。上報(bào)的信息包括：APP版本、APP名稱(chēng)、本地語(yǔ)言、iOS版本、設(shè)備類(lèi)型、國(guó)家碼等設(shè)備信息，能精準(zhǔn)地區(qū)分每一臺(tái)iOS設(shè)備。

　　騰訊安全應(yīng)急響應(yīng)中心認(rèn)為，黑客能夠通過(guò)上報(bào)的信息區(qū)分每一臺(tái)iOS設(shè)備，然后如同已經(jīng)上線的肉雞一般，隨時(shí)隨地給任何人下發(fā)指令，通過(guò)iOS openURL API，控制受感染的iPhone，完成打開(kāi)網(wǎng)頁(yè)、發(fā)短信、打電話等常規(guī)手機(jī)行為。xCodeGhost具備遠(yuǎn)程控制能力和自定義彈窗能力，而遠(yuǎn)程控制模塊本身還存在漏洞，可被其它黑客利用進(jìn)行中間人攻擊。騰訊安全應(yīng)急響應(yīng)中心稱(chēng)，這個(gè)事件的危害其實(shí)被大大低估了。

　　360旗下涅槃團(tuán)隊(duì)在9月20日凌晨發(fā)布技術(shù)分析稱(chēng)，利用xCodeGhost惡意代碼，可以做應(yīng)用推廣、偽造內(nèi)購(gòu)頁(yè)面、通過(guò)遠(yuǎn)程控制，可以在用戶手機(jī)上提示?相關(guān)彈窗信息等。

　　Android潛規(guī)則進(jìn)入iOS引發(fā)炒作

　　一位上市網(wǎng)絡(luò)安全公司要求匿名的安全專(zhuān)家對(duì)搜狐科技表示，盡管可能會(huì)存在被利用的安全漏洞，但沒(méi)有充分的證據(jù)證明XCodeGhost就是一個(gè)病毒，充其量只是算是一個(gè)木馬或后門(mén)。

　　這位安全專(zhuān)家表示，互聯(lián)網(wǎng)軟件中其實(shí)有很多軟件都有后門(mén)。如果XCodeGhost是病毒的話，估計(jì)國(guó)內(nèi)Android系統(tǒng)里跑的所有APP應(yīng)用都是病毒了。幾乎每個(gè)APP都會(huì)獲取用戶的手機(jī)串號(hào)等信息，理由是更好地做適配，為用戶提供更好的交互體驗(yàn)。每個(gè)Android APP都會(huì)連網(wǎng)，向開(kāi)發(fā)者指定的服務(wù)器傳輸一些機(jī)器甚至個(gè)人的信息。從安裝是程序顯示的權(quán)限要求，或用特殊的安全審計(jì)工具抓包都可以發(fā)現(xiàn)這樣的問(wèn)題。

　　據(jù)搜狐科技了解，在各類(lèi)Android市場(chǎng)或論壇中，多年前就普遍存在APK重打包做代碼注入的事情，這種做法已經(jīng)成為行業(yè)內(nèi)的潛規(guī)則。賽門(mén)鐵克旗下諾頓就曾推出一個(gè)演示視頻，黑客或從業(yè)人員只需要幾步，就可以在一個(gè)Android APK程序注入廣告代碼并發(fā)布到網(wǎng)上供人下載。

　　這位安全專(zhuān)家表示，XCodeGhost確實(shí)有可能存在安全風(fēng)險(xiǎn)，但業(yè)界對(duì)這個(gè)事件的反應(yīng)有點(diǎn)過(guò)度。由于iOS系統(tǒng)發(fā)生安全事件的情況較少，專(zhuān)業(yè)類(lèi)漏洞難以炒作，這次XCodeGhost事件發(fā)生后，國(guó)內(nèi)安全廠商借勢(shì)營(yíng)銷(xiāo)傾向很濃。另外，由于媒體從業(yè)人員使用蘋(píng)果的比例較高且懂安全的人較少，跟風(fēng)的成分也很大。

　　這位安全專(zhuān)家對(duì)搜狐科技稱(chēng)，業(yè)界廠商老是利用一些安全事件嚇唬用戶，一有安全威脅就建議用戶改密碼，xCodeGhost事件發(fā)生后，甚至還有人讓用戶注銷(xiāo)信用卡來(lái)規(guī)避風(fēng)險(xiǎn)。烏云網(wǎng)創(chuàng)始人方小頓對(duì)搜狐科技表示，最終用戶自身很難防御這個(gè)行業(yè)性事件?，F(xiàn)在來(lái)看，xCodeGhost不會(huì)影響那些APP的用戶名密碼等信息。如果擔(dān)心安全問(wèn)題，用戶可以修改iCloud密碼。

　xCodeGhost事件折射軟件開(kāi)發(fā)流程管理不完善

　　RadioWar無(wú)線安全團(tuán)隊(duì)創(chuàng)始人營(yíng)智敏對(duì)搜狐科技表示，正規(guī)廠商使用非官方的開(kāi)發(fā)套件，引發(fā)一連串的問(wèn)題，說(shuō)明在軟件開(kāi)發(fā)方面，大多數(shù)公司在流程管理方面存在很多不完善的地方。

　　營(yíng)智敏表示，安全廠商在分析xCodeGhost事件時(shí)，大多數(shù)只注重技術(shù)層面的問(wèn)題，而忽視了管理方面的缺陷。與其說(shuō)國(guó)內(nèi)一些安全廠商反應(yīng)過(guò)大，還不如說(shuō)根本就沒(méi)有反應(yīng)。如果開(kāi)發(fā)團(tuán)隊(duì)都是用官方的套件，根本不會(huì)出現(xiàn)這樣的問(wèn)題。

　　營(yíng)智敏稱(chēng)，不可信來(lái)源的開(kāi)發(fā)套件本身在IT管理里面就是不允許的。這次事件影響到了國(guó)內(nèi)很多互聯(lián)網(wǎng)巨頭公司，其內(nèi)部IT安全管理、代碼復(fù)審等環(huán)節(jié)都出現(xiàn)了問(wèn)題，說(shuō)明在規(guī)范化方面這些公司還有很多需要改進(jìn)的空間。如果從國(guó)家安全的角度來(lái)講，這次事件反映出的問(wèn)題，需要引起業(yè)界足夠的重視。（文/丁?。?/p>