一向号称最安全的苹果ios最近也不安全了。近日,多款知名社交、地图、出行app的iphone版被曝出有“恶意代码”,腾讯发布报告称受影响用户可能超过1亿。记者多方采访了解到,本次事件“源头”叫xcode,受恶意代码影响,由这款工具开发的ios版app以及macos的程序都会被影响,都存在泄露个人隐私的危险。
事件主角:xcode
非苹果官方版本的xcode被植入恶意代码
本次事件的主角是xcode,iphone上的app和mac上跑的程序很多是用xcode写出来的。除了苹果公司的官方版本,还有一些非官方版本的xcode。在下载速度和方便性上,非官方版本有一定优势,因此很多国内开发者也乐于使用。但是,这次引发问题的正是这些非官方版本的xcode。
对于本次安全事件,最权威的发布来自国家级网络安全应急机构——国家互联网应急中心(cncert)。14日,cncert发布《关于使用非苹果官方xcode存在植入恶意代码情况的预警通报》中提到:“开发者使用非苹果公司官方渠道的xcode工具开发苹果应用程序(苹果app)时,会向正常的苹果app中植入恶意代码。被植入恶意程序的苹果app可以在appstore正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。”
这意味着,只要用这款工具开发的苹果app,都有泄露个人隐私的可能。虽然没有确定问题的严重性,但是cncert的建议非常明确——“相关开发者或互联网企业,在开发苹果app过程中,切勿使用非苹果官方渠道的xcode工具”。
中招app:76款热门应用
不乏大公司知名应用,受影响用户超1亿
记者了解到,多款知名音乐、出行app均由该代码写作。“腾讯安全应急响应中心”19日发布报告称:“我们发现appstore下载量最高的5000个app中有76款app被xcodeghost感染,其中不乏大公司的知名应用,也有不少金融类应用,还有诸多民生类应用。根据保守估计,受这次事件影响的用户数超过1亿。”
“360安全播报平台”19日上午通报称,360安全团队“扫描了14.5万多个app,共发现344款app感染xcodeghost木马,其中不乏……用户量很广的app,涉及互联网、金融、铁路航空、游戏等领域”,“目前已知漏洞会收集用户信息以及模仿icloud登录界面要求用户输入账号密码”。
受影响app也启动补救工作。例如微信团队18日晚就发布说明,称“最新版本微信已经解决此问题,用户可升级微信自行修复,此问题不会给用户造成直接影响”,“目前尚没有发现用户会因此造成信息或者财产的直接损失”。
用户怎么办?做病毒检测
一些安全企业已推出了相关安全检测产品
对于可能受影响的企业或者用户,这时能做些什么?记者多方了解到,目前一些安全企业已推出了相关安全检测产品。其中,知名安全公司“启明星辰积极防御实验室”推出了企业级检测软件,盘古团队推出了面向个人用户的xcode病毒检测app。综合来看,以往安全事件多是某app的个体事件,但本次安全事件则算得上系统性事件。对此,安言咨询总经理张耀疆认为:“这起事件反映了一种潜在风险,即在用户甚至开发商不知晓的情况下,也有泄露所有个人信息的可能性。即使这次解决了,开发者也很难保证下次不出现类似问题,因为这不是一家能解决的问题,而是整个移动开发链条上的问题。”
展开全文
“这次事件给整个业界提了个醒,开发及编译工具应该是需要‘重兵’把守的‘城门’。”资深安全专家林正隆表示。对于本次事件的后续影响,启明星辰副总裁欧阳梅雯告诉记者,“目前手机app创业非常热,大部分公司为了赶进度,很多规则就模糊了。即使在安全实力很强的企业,业务部门也可能不太注重安全,抢着就把app上线了。但一旦出现安全问题,不仅会对企业品牌产生负面影响,而且中招软件的卸载率也会很高。”
对此,张耀疆、欧阳梅雯建议,众多开发商提供的东西良莠不齐,很多中小企业不具备软件自检的能力,这类软件在市场上流转就隐藏很大风险。因此,有关部门应该建立一个不依赖任何企业的安全控制机制,把这些应用管起来。此外,尽管本次事件影响巨大,却似乎没有任何人将为此负责,这也再次凸显个人信息保护立法立规的重要性。
中了招的app黑客想偷啥?
如用户绑定账户有钱可能被偷去买应用
据腾讯安全应急响应中心介绍,至少76款苹果应用被病毒入侵,受影响用户超过一亿,安装这些应用的iphone/ipad用户可能泄露基本的信息。从不同信息来源统计,中招的app包括微信、网易云音乐、滴滴出行、12306、中国联通手机营业厅、高德地图、简书、豌豆荚、网易公开课、下厨房、51卡保险箱、同花顺、中信银行动卡空间等。
中招的app都是特定的版本,有用户爆料,xcodeghost病毒可以在未越狱的iphone上伪造弹窗进行钓鱼攻击,生成的“输入密码”对话窗口仿真度非常高,很难辨别。
据悉,黑客偷苹果账号,一来可以帮第三方游戏和软件等app刷榜,通过它们的下载量变现;二来是乱发imessage广告和短信变现;三是知道用户的账号后能得到一定权限,在appstore下载大量付费应用,这就意味着,如果用户绑定的账户有钱的话,这些钱会被偷去买应用。
提醒用户:多加小心
建议用户赶紧去改密码
不过,由于苹果本身权限限制比较严格,所幸这次的xcode恶意代码没有那么严重,信息泄露相对来说威胁较为轻微。xcodeghost病毒目前上传的是产品的部分基本信息,比如安装时间、应用id、应用名称、系统版本、语言、国家等,不会涉及个人信息。
有媒体说,用户不必过分担心账号安全。对于ios用户来说,首先不必太过慌张,但仍需要多加小心,并给出了以下的处理建议。一是基于安全的考虑,最好对涉及到的密码、支付方式等进行修改。二是为确保安全,用户也可以选择暂时卸载那些受影响软件。保险起见,修改appleid密码,icloud账户密码。三是对于中招软件,稳妥起见暂时不要打开,静待更新。而目前微信、下厨房等已经进行了修复并将版本修复,用户升级到新版即可。四是再次建议iphone/ipad用户不要越狱,只从官方市场下载软件。当有人试图套取你的icloud账户密码或者其他重要账户密码、手机验证码时,必须谨慎对待。
(综合新华社、《现代快报》、《羊城晚报》)
