苹果回应XcodeGhost事件：个人信息没受影响|恶意代码

分享至

网易科技讯 9月23日消息，上周爆发的XcodeGhost事件引发了不小的震动，上周日苹果表示正在对iOS App Store进行清理，删除其中的iPhone和iPad恶意应用。而在今日，苹果官网发布了回应全文。苹果表示一直建议开发者使用苹果提供的免费、安全工具，包括Xcode，从而确保为App Store用户创造出安全的app。为了更快下载开发者工具，开发者有时会从其他非Apple站点搜寻Xcode。一些开发者下载了已被恶意软件感染的盗版Xcode，由此开发的app也同样受到感染。

苹果称，目前没有任何信息表明这些恶意软件与任何恶意事件相关，也没有信息表明这些软件被使用在传播任何个人身份信息的用途上。同时，也没有看到任何客户个人身份信息受到影响，而且代码无法通过用户身份请求来获取iCloud或其他服务的密码。

苹果表示，只要一经发现这些app有可能通过恶意代码开发，就对其进行下架处理。苹果正与开发者紧密协作，以确保受到影响的app尽快回到App Store，苹果也将在支持页面上列出受此影响的前25个apps，方便用户验证他们是否已将这些app更新到了最新版本。

同时苹果正努力让中国的开发者可以用更快的速度下载Xcode测试版本。（易科）

以下是苹果回应全文：

有关 XcodeGhost 的问题和解答

我听说了由 XcodeGhost 开发的恶意 app — 这是怎么回事？

我们一直建议开发者使用由我们提供的免费、安全的工具，包括 Xcode，从而确保他们为 App Store 的用户创造出安全的 app。一些开发者下载了已被恶意软件感染的盗版 Xcode，由此开发的 app 也同样受到感染。

Apple 特意使用诸如 Gatekeeper 等技术，以防止安装从非 App Store 渠道下载的应用程序，和 / 或安装包括 Xcode 在内的未签名的应用程序。当开发者为了能安装类似 XcodeGhost 等恶意程序时，这些保护措施会被刻意地禁用。

作为 Apple 向开发者提供的业界先进工具之一，以下措施可以确保软件未被篡改：

Xcode app 有 Apple 的代码签名。

从 Mac App Store 下载 Xcode 时，开发者的电脑系统自动对 Xcode 的代码签名会进行检查和验证。

从 Apple Developer Program 网站下载 Xcode 时，只要 Gatekeeper 没有被禁用，默认开发者的电脑系统对 Xcode 代码签名自动进行检查和验证。

为什么开发者会不顾用户的安全下载盗版软件？

为了更快下载我们的开发者工具，开发者有时会从其他非 Apple 站点搜寻。

这会对我有什么影响吗？如何得知我的设备是否受到了影响？

我们目前没有任何信息表明这些恶意软件与任何恶意事件相关，也没有信息表明这些软件被使用在传播任何个人身份信息的用途上。

我们目前没有看到任何客户个人身份信息受到影响，而且代码无法通过用户身份请求来获取 iCloud 或其他服务的密码。

只要一经发现这些 app 有可能通过恶意代码开发，我们就对其进行下架处理。开发者们正在快速更新他们的 app，以便用户使用。

恶意代码只能提供一些基本信息，比如 app 和一般系统信息。

从 Apps Store 下载 app 是否安全？

我们已将由该盗版软件开发的 apps 从 App Store 中撤下，并拦截了通过该恶意软件开发的新 app 进入 App Store。

我们正与开发者紧密协作，以确保受到影响的 app 尽快回到 App Store 供用户使用。

我们将在支持页面上列出受此影响的前 25 个 apps，方便用户验证他们是否已将这些 app 更新到了最新版本。

用户还将会收到更多信息，以便了解他们下载的某 app 是否会存在问题。一旦开发者更新了他们的 app，用户可以通过在设备上运行更新解决存在的问题。

我们正努力让中国的开发者可以用更快的速度下载 Xcode 测试版本。开发者也可以通过 developer.apple.com 列出的步骤来验证他们的 Xcode 是否被篡改过。

网易科技讯 9月21日消息，据国外媒体报道，苹果公司周日表示正在对iOS App Store进行清理，删除其中的iPhone和iPad恶意应用。上周，iOS App Store遭遇首次大规模信息安全攻击。

攻击事件发生后，数家网络安全公司发表安全报告称，发现了一款名为XcodeGhost的恶意软件被注入数百款合法应用中。苹果因此采取了删除措施。

这是苹果公司首次被发现批量恶意软件成功绕开苹果严格的应用审批流程，进入到App Store商店中。根据网络安全公司Palo Alto Networks的数据，在本次攻击之前，App Store总共才发现过5款恶意应用。

苹果公司称，在此次攻击中，黑客通过诱导诱骗应用开发者使用伪造的iOS和Mac应用开发工具Xcode，从而将恶意代码注入这些应用。

苹果发言人克莉丝汀·莫纳汉（Christine Monaghan）在一份电子邮件中表示：“我们已经将App Store里这些基于伪造开发工具开发的应用删除了，同时我们正和开发者联系，确保他们使用正确版本的Xcode来重新开发应用。”

她没有透露iPhone和iPad用户可采用怎样的措施来确认自己的设备是否受到影响。

Palo Alto Networks情报威胁负责人莱恩·奥尔森（Ryan Olsen）表示，该恶意软件的威胁功能有限，并且该公司暂未发现一起数据盗窃或是其他因此攻击而造成损失的案例。

不过，他表示这仍是一起“重大事件”，因为这表明了假如黑客将开发人员用来编写合法应用程序的机器感染了，App Store就有可能被攻击。其他黑客也有可能效仿XcodeGhost即本次攻击的作者的这种行径，这种攻击很难抵御。“现在，开发者反而成了靶子。”

据悉，伪造的Xcode工具来自中国的一个服务器。网络安全研究人员表示，被感染的应用包括腾讯旗下的微信、叫车服务滴滴出行等。安全公司奇虎360在官方博客中表示，已发现有344款应用受到了XcodeGhost的影响。

苹果拒绝透露其已经发现有多少款应用受到影响。（子昕）

上周末，多家安全企业都曝光了一起名为“XcodeGhost”的安全事件，病毒制造者通过感染苹果应用的开发工具Xcode，让AppStore中的正版应用带上了会上传信息的恶意程序。据估算，受到影响的用户数量会超过一亿。这一事件的爆发，也打破了原本被认为安全性很高的苹果iOS系统的金身。360公司表示，目前已经通过技术手段基本锁定病毒制造者的身份，并且已经报警。

事件：300多热门App感染恶意程序

近日，多款知名社交、地图、出行App的iPhone版被爆出有“恶意代码”。此次的“XcodeGhost”事件之所以热度极高，很重要的一个原因是受到影响的用户数量极多。

事件曝光后，多家移动安全企业都公布了各自检测出受波及的App名单，其中360涅槃团队公布的受影响App数量最多。涅槃团队称，通过对14.5万App的扫描，发现有344款App都感染了恶意程序，其中不乏微信、12306、高德地图、滴滴打车等热门App。据“腾讯安全应急响应中心”发布的报告，保守估计，受这次事件影响的用户数超过1亿。这可能是苹果AppStore上线以来，涉及用户数最多的一起安全事件。

目前，微信、高德地图、滴滴打车、网易云音乐等一些知名App，都对外承认受到了“XcodeGhost”事件影响，不过同时这些公司在声明中也都表示，这一事件不会对用户的信息安全造成威胁，并且已经发布了修复恶意程序的新版本应用，用户自行升级就可以解决。例如，微信团队在公开声明中就表示，“该问题仅存在iOS6.2.5版本中，最新版本微信已经解决此问题，用户可升级微信自行修复，此问题不会给用户造成直接影响。目前尚没有发现用户会因此造成信息或者财产的直接损失，但是微信团队将持续关注和监测。”

当然，在为数众多的App中，公开信息的毕竟还是少数。360安全实验室负责人林伟表示，有些小应用的开发团队可能还没有及时对应用进行升级，甚至不排除有的开发者还不知道自己的应用中枪了。“我们也在尽可能发现并且通知用户和开发者。”林伟表示。

木马代码嵌入开发工具源头

在安卓平台上，各种安全问题的爆发对于用户来说已经习以为常了，而苹果的iOS系统一直被认为相当安全，因为苹果对于其中的App有着严格的安全审核机制。不过这一次，对自己手机安全没怎么操过心的苹果用户也有些傻眼了，“从苹果官方下载的App怎么也中毒了？”手机裸奔的感觉，也让很多iPhone用户感到了惶恐。

“这已经注定成为移动安全史上标示性的事件。”有移动安全方面的人士这样评价，这可以说是迄今为止手机行业最大的一次安全事件，过亿受影响的用户确实让人感到不寒而栗。

另外，这种黑客直接把木马代码嵌入了iOS开发工具源头的攻击方式在国内尚属首次，而一旦这扇门开了，带来的风险是不言而喻的，类似的攻击方式也会引发更多黑色产业链的效仿。

据盘古越狱团队的创始人韩争光介绍，实际上这种从源头上进行污染的黑客手段，很早之前就有人提出过，UNIX之父KenThompson在一次演讲中就做过类似的假设，斯诺登曝光的材料里也提到过Xcode污染的案例。只不过这一次是这种情况的首次大规模传播，与某些特别目的的手段不相同。

林伟则表示，苹果是不允许用户使用第三方安全软件的，之前大家可能觉得这没什么，但此次事件之后能看出，安全企业提供的保护方案要比手机厂商自己做的要更专业。他认为，最理想的情况就是苹果向第三方安全软件开发iOS系统，让不越狱的iPhone用户也能接受到更加专业可靠的安全保护。

苹果已经向受影响应用开发者发出应用下架通知，要求开发者从正规渠道下载Xcode程序，重新编写应用程序再上传。

进展：病毒制造者身份已被锁定

就在事件爆发后，自称是“XcodeGhost”始作俑者的新浪微博用户@@XcodeGhost-Author在网上发了一封道歉信。他称，XcodeGhost源于他自己进行的一项实验，获取的全部数据实际为基本的App信息：应用名、应用版本号、系统版本号、语言、国家名、开发者符号、App安装时间、设备名称、设备类型，除此之外，没有获取任何其他数据。他也承认，出于私心，在代码加入了广告功能，希望将来可以推广自己的应用，但从开始到最终关闭服务器，并未使用过广告功能。而在10天前，他已主动关闭服务器，并删除所有数据，更不会对任何人有任何影响。“XcodeGhost不会影响任何App的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。”这个给无数人带来大麻烦的人这样说道。

不过，这种轻描淡写遭到了很多安全行业从业者的质疑。林伟就表示，360团队对其行为的追踪发现，在半年之前，就有人开始在大量的iOS开发论坛上散布Xcode的下载链接，甚至还有人入侵了某论坛版主的ID来修改下载链接，而这些下载链接全部指向了同一份网盘文件，如此大规模的举动，做实验的说法根本解释不通。也有网络工程师在微博上算了一笔账，这种对用户信息的收集，仅仅是使用海外服务器的成本每月就要四五十万美元。“这仅仅是个苦×开发者的个人实验？”

韩争光也认为，进行这种黑客行为对制造者的技术水平要求很高，绝非一般人能够所为，而且从其一系列行为来看，不大可能是一个人做出来的，应该是有一个团队在操盘，背后很可能是和黑产产业链有关系。

360公司对记者表示，目前已经通过技术手段基本锁定了病毒制造者的身份，并且已经报警，正在配合警方进行调查。不过360相关人士表示，在警方结案前还不能公布关于病毒制造者身份的更多细节。从记者在多个渠道获得的信息来看，病毒制造者并非一个人，其中一名主要成员曾是国内某名校的保送研究生，不过已经退学。

建议：用户应定期修改密码

不管黑客是怎么得手的，对于普通用户来说，最重要也是最关心的事只有一个，那就是自己的手机究竟安不安全？“微信、滴滴打车、12306，这些应用我都装了，还做过支付，会不会有风险？绑定的信用卡会不会被盗刷？”很多用户急切想知道答案。

从上述“病毒开发者”回应来看，“XcodeGhost”收集的数据确实不涉及太敏感和关键的信息，目前尚无证据证实“XcodeGhost”有利用收集用户信息违法获利的行为，也没有收到用户损失方面的报告。从这个方面来说，即便安装了受影响的App，iPhone用户也不必过于紧张。

不过，韩争光认为，虽然现在看不到这个恶意程序造成了什么损失，但这个恶意程序是可以带来很多更严重威胁的。就像一个高明的窃贼撬开了严密的防盗门，进到一个人家，这一次只是留下了几张“小广告”就走了，但是他将来是有能力进到家中把财物席卷一空的，“也有可能家中失窃了，但是房主还没有发现。”

韩争光建议，手机中安装了受到影响的App的用户，如果是常用的应用，就暂停使用，等开发者发布新的版本更新后再使用；如果是不常用的应用，可以直接卸载。他同时还建议，虽然目前没有看到造成损失的案例，但确实存在泄露个人关键信息的风险，还是建议用户修改一下手机中的重要密码。无论有没有安全事件，定期修改密码都是一个良好的习惯。

开发者应确保开发环境安全

这一次的“XcodeGhost”事件和以往的安全事件很大的不同在于用户其实开始是无从防范的，苹果应用的开发者成为了病毒传播链条上很关键的一环。虽然病毒制造者污染了Xcode工具，但如果开发者都从正规渠道下载这一工具，也不会造成现在的局面。

有iOS开发者表示，从其他渠道下载Xcode而不是从苹果官方渠道下载，其实是业内很普遍的行为，因为官方下载渠道速度太慢，很多程序员为了节省时间往往直接使用国内的下载工具下载，这就给了“XcodeGhost”病毒可乘之机。

猎豹移动表示，这件事给程序员敲响了警钟：要安全，首先得保证自己的开发工具安全。程序员被黑客暗算的事曾经多次发生，无论如何，建议使用正版、未被非法篡改过的开发工具编写程序，避免用户成为受害者；其次，编译环境、发布环境的安全值得注意，编译服务器和自动发布服务器，应保持干净的环境，不要随意安装来源不明的可疑软件。

安全行业业内人士表示，这一次的事件给苹果在安全机制上敲响了警钟，让苹果注意到自身安全机制存在的漏洞，相信苹果会修补这次安全事件造成的影响，在安全审查上变得更加严格。

京华时报记者古晓宇

针对XcodeGhost事件，猎豹移动安全实验室整理出了的10个热点问答。

1.XcodeGhost事件的来龙去脉

源于9月18日乌云网公布的一则分析报告:XCode编译器里有鬼 – XCodeGhost样本分析,这份纯粹的技术分析报告引爆中国iOS生态链的众多开发者。

有些程序员使用了第三方Xcode编译器，这些编译器编写的APP存在安全问题，当它们上传到AppStore之后，被用户下载安装，它们会偷偷上传软件包名、应用名、系统版本、语言、国家等基本信息。

从病毒样本的分析看，这些泄露信息其实并不涉及太多的隐私问题。

值得注意的是，病毒拥有更多的权限，它们在iPhone/iPad上弹出钓鱼网站页面，可能骗取iCloud帐号密码，或者其他关键信息。

2.哪些APP有问题，可能有什么影响？

据分析，受XCodeGhost事件影响的APP可能有30多款，包括微信、我叫MT、同花顺、南京银行、南方航空、中信银行行动卡空间、名片全能王、愤怒的小鸟2等等比较熟知的应用。

安装这些应用的iPhone/iPad用户可能泄露基本的信息。

如果在近一段时间（1-2个月内），普通用户在这些受影响的应用中输入过敏感信息，如icloud密码、信用卡信息等，这些信息理论上也可能被泄露。