xCodeGhost事件仍然在持續(xù)發(fā)酵。

　　由于國內(nèi)部分知名軟件公司使用了第三方下載提供的修改版蘋果xCode開發(fā)工具，導(dǎo)致經(jīng)過這些版本開發(fā)并發(fā)行的iOS APP被植入后門。

　　xCodeGhost影響有多大？

　　9月19日早8點(diǎn)，360旗下涅槃團(tuán)隊掃描14.5萬多個APP后得到的結(jié)果顯示，有344款A(yù)PP感染了XcodeGhost木馬。其中包括百度音樂、微信、高德、 滴滴、花椒、58同城、網(wǎng)易云音樂、12306、同花順、南方航空、工行融e聯(lián)、重慶銀行等用戶量很廣的APP，涉及互聯(lián)網(wǎng)、金融、鐵路航空、游戲等眾多領(lǐng)域。

　　從涅槃團(tuán)隊披露的列表來看，擁有海量用戶的BAT公司旗下應(yīng)用均有中招。騰訊安全應(yīng)急響應(yīng)中心分析了76款被XCodeGhost感染的APP后認(rèn)為，保守估計受這次事件影響的用戶數(shù)超過一億。

xCodeGhost到底是不是病毒？

　　于9月17日注冊的微博用戶XcodeGhost-Author發(fā)文表示對xCodeGhost負(fù)責(zé)。

　　在其發(fā)表的微博中，XcodeGhost-Author稱，XcodeGhost源于其自己的實驗，沒有任何威脅性行為，只是一段已經(jīng)“徹底死亡的代碼”而已。作者稱，在10天前其就將APP上傳信息的服務(wù)器關(guān)閉并刪除了收集的數(shù)據(jù)。XcodeGhost-Author同時在Github上公布了XcodeGhost的源代碼，以便讓第三方機(jī)構(gòu)或個人驗證其說法的真實性。

　　騰訊安全應(yīng)急響應(yīng)中心從技術(shù)角度分析了xCodeGhost的行為，將XcodeGhost歸為“病毒”。根據(jù)騰訊安全應(yīng)急響應(yīng)中心的分析，受感染的iOS APP在啟動、運(yùn)行、退出時，會上報信息到黑客控制的服務(wù)器上。上報的信息包括：APP版本、APP名稱、本地語言、iOS版本、設(shè)備類型、國家碼等設(shè)備信息，能精準(zhǔn)地區(qū)分每一臺iOS設(shè)備。

　　騰訊安全應(yīng)急響應(yīng)中心認(rèn)為，黑客能夠通過上報的信息區(qū)分每一臺iOS設(shè)備，然后如同已經(jīng)上線的肉雞一般，隨時隨地給任何人下發(fā)指令，通過iOS openURL API，控制受感染的iPhone，完成打開網(wǎng)頁、發(fā)短信、打電話等常規(guī)手機(jī)行為。xCodeGhost具備遠(yuǎn)程控制能力和自定義彈窗能力，而遠(yuǎn)程控制模塊本身還存在漏洞，可被其它黑客利用進(jìn)行中間人攻擊。騰訊安全應(yīng)急響應(yīng)中心稱，這個事件的危害其實被大大低估了。

　　360旗下涅槃團(tuán)隊在9月20日凌晨發(fā)布技術(shù)分析稱，利用xCodeGhost惡意代碼，可以做應(yīng)用推廣、偽造內(nèi)購頁面、通過遠(yuǎn)程控制，可以在用戶手機(jī)上提示?相關(guān)彈窗信息等。

　　Android潛規(guī)則進(jìn)入iOS引發(fā)炒作

　　一位上市網(wǎng)絡(luò)安全公司要求匿名的安全專家對搜狐科技表示，盡管可能會存在被利用的安全漏洞，但沒有充分的證據(jù)證明XCodeGhost就是一個病毒，充其量只是算是一個木馬或后門。

　　這位安全專家表示，互聯(lián)網(wǎng)軟件中其實有很多軟件都有后門。如果XCodeGhost是病毒的話，估計國內(nèi)Android系統(tǒng)里跑的所有APP應(yīng)用都是病毒了。幾乎每個APP都會獲取用戶的手機(jī)串號等信息，理由是更好地做適配，為用戶提供更好的交互體驗。每個Android APP都會連網(wǎng)，向開發(fā)者指定的服務(wù)器傳輸一些機(jī)器甚至個人的信息。從安裝是程序顯示的權(quán)限要求，或用特殊的安全審計工具抓包都可以發(fā)現(xiàn)這樣的問題。

　　據(jù)搜狐科技了解，在各類Android市場或論壇中，多年前就普遍存在APK重打包做代碼注入的事情，這種做法已經(jīng)成為行業(yè)內(nèi)的潛規(guī)則。賽門鐵克旗下諾頓就曾推出一個演示視頻，黑客或從業(yè)人員只需要幾步，就可以在一個Android APK程序注入廣告代碼并發(fā)布到網(wǎng)上供人下載。

　　這位安全專家表示，XCodeGhost確實有可能存在安全風(fēng)險，但業(yè)界對這個事件的反應(yīng)有點(diǎn)過度。由于iOS系統(tǒng)發(fā)生安全事件的情況較少，專業(yè)類漏洞難以炒作，這次XCodeGhost事件發(fā)生后，國內(nèi)安全廠商借勢營銷傾向很濃。另外，由于媒體從業(yè)人員使用蘋果的比例較高且懂安全的人較少，跟風(fēng)的成分也很大。

　　這位安全專家對搜狐科技稱，業(yè)界廠商老是利用一些安全事件嚇唬用戶，一有安全威脅就建議用戶改密碼，xCodeGhost事件發(fā)生后，甚至還有人讓用戶注銷信用卡來規(guī)避風(fēng)險。烏云網(wǎng)創(chuàng)始人方小頓對搜狐科技表示，最終用戶自身很難防御這個行業(yè)性事件?，F(xiàn)在來看，xCodeGhost不會影響那些APP的用戶名密碼等信息。如果擔(dān)心安全問題，用戶可以修改iCloud密碼。

　xCodeGhost事件折射軟件開發(fā)流程管理不完善

　　RadioWar無線安全團(tuán)隊創(chuàng)始人營智敏對搜狐科技表示，正規(guī)廠商使用非官方的開發(fā)套件，引發(fā)一連串的問題，說明在軟件開發(fā)方面，大多數(shù)公司在流程管理方面存在很多不完善的地方。

　　營智敏表示，安全廠商在分析xCodeGhost事件時，大多數(shù)只注重技術(shù)層面的問題，而忽視了管理方面的缺陷。與其說國內(nèi)一些安全廠商反應(yīng)過大，還不如說根本就沒有反應(yīng)。如果開發(fā)團(tuán)隊都是用官方的套件，根本不會出現(xiàn)這樣的問題。

　　營智敏稱，不可信來源的開發(fā)套件本身在IT管理里面就是不允許的。這次事件影響到了國內(nèi)很多互聯(lián)網(wǎng)巨頭公司，其內(nèi)部IT安全管理、代碼復(fù)審等環(huán)節(jié)都出現(xiàn)了問題，說明在規(guī)范化方面這些公司還有很多需要改進(jìn)的空間。如果從國家安全的角度來講，這次事件反映出的問題，需要引起業(yè)界足夠的重視。（文/丁?。?/p>