上週末，多家安全企業都曝光了一起名為“XcodeGhost”的安全事件，病毒製造者通過感染蘋果應用的開發工具Xcode，讓AppStore中的正版應用帶上了會上傳資訊的惡意程式。據估算，受到影響的用戶數量會超過一億。這一事件的爆發，也打破了原本被認為安全性很高的蘋果iOS系統的金身。360公司表示，目前已經通過技術手段基本鎖定病毒製造者的身份，並且已經報警。

　　1 事件

　　300多熱門App感染惡意程式

　　近日，多款知名社交、地圖、出行App的iPhone版被爆出有“惡意代碼”。此次的“XcodeGhost”事件之所以熱度極高，很重要的一個原因是受到影響的用戶數量極多。

　　事件曝光後，多家移動安全企業都公佈了各自檢測出受波及的App名單，其中360涅槃團隊公佈的受影響App數量最多。涅槃團隊稱，通過對14.5萬App的掃描，發現有344款App都感染了惡意程式，其中不乏微信、12306、高德地圖、滴滴打車等熱門App。據“騰訊安全應急響應中心”發佈的報告，保守估計，受這次事件影響的用戶數超過1億。這可能是蘋果AppStore上線以來，涉及用戶數最多的一起安全事件。

　　目前，微信、高德地圖、滴滴打車、網易雲音樂等一些知名App，都對外承認受到了“XcodeGhost”事件影響，不過同時這些公司在聲明中也都表示，這一事件不會對用戶的資訊安全造成威脅，並且已經發佈了修復惡意程式的新版本應用，用戶自行升級就可以解決。例如，微信團隊在公開聲明中就表示，“該問題僅存在iOS6.2.5版本中，最新版本微信已經解決此問題，用戶可升級微信自行修復，此問題不會給用戶造成直接影響。目前尚沒有發現用戶會因此造成資訊或者財産的直接損失，但是微信團隊將持續關注和監測。”

　　當然，在為數眾多的App中，公開資訊的畢竟還是少數。360安全實驗室負責人林偉表示，有些小應用的開發團隊可能還沒有及時對應用進行升級，甚至不排除有的開發者還不知道自己的應用中槍了。“我們也在盡可能發現並且通知用戶和開發者。”林偉表示。

　　木馬代碼嵌入開發工具源頭

　　在安卓平臺上，各種安全問題的爆發對於用戶來説已經習以為常了，而蘋果的iOS系統一直被認為相當安全，因為蘋果對於其中的App有著嚴格的安全審核機制。不過這一次，對自己手機安全沒怎麼操過心的蘋果用戶也有些傻眼了，“從蘋果官方下載的App怎麼也中毒了？”手機裸奔的感覺，也讓很多iPhone用戶感到了惶恐。

　　“這已經註定成為移動安全史上標示性的事件。”有移動安全方面的人士這樣評價，這可以説是迄今為止手機行業最大的一次安全事件，過億受影響的用戶確實讓人感到不寒而慄。

　　另外，這種駭客直接把木馬代碼嵌入了iOS開發工具源頭的攻擊方式在國內尚屬首次，而一旦這扇門開了，帶來的風險是不言而喻的，類似的攻擊方式也會引發更多黑色産業鏈的效倣。

　　據盤古越獄團隊的創始人韓爭光介紹，實際上這種從源頭上進行污染的駭客手段，很早之前就有人提出過，UNIX之父KenThompson在一次演講中就做過類似的假設，斯諾登曝光的材料裏也提到過Xcode污染的案例。只不過這一次是這種情況的首次大規模傳播，與某些特別目的的手段不相同。

　　林偉則表示，蘋果是不允許用戶使用第三方安全軟體的，之前大家可能覺得這沒什麼，但此次事件之後能看出，安全企業提供的保護方案要比手機廠商自己做的要更專業。他認為，最理想的情況就是蘋果向第三方安全軟體開發iOS系統，讓不越獄的iPhone用戶也能接受到更加專業可靠的安全保護。

　　蘋果已經向受影響應用開發者發出應用下架通知，要求開發者從正規渠道下載Xcode程式，重新編寫應用程式再上傳。

　　2 進展

　　病毒製造者身份已被鎖定

　　就在事件爆發後，自稱是“XcodeGhost”始作俑者的新浪微網志用戶@XcodeGhost-Author在網上發了一封道歉信。他稱，XcodeGhost源於他自己進行的一項實驗，獲取的全部數據實際為基本的App資訊：應用名、應用版本號、系統版本號、語言、國家名、開發者符號、App安裝時間、設備名稱、設備類型，除此之外，沒有獲取任何其他數據。他也承認，出於私心，在代碼加入了廣告功能，希望將來可以推廣自己的應用，但從開始到最終關閉伺服器，並未使用過廣告功能。而在10天前，他已主動關閉伺服器，並刪除所有數據，更不會對任何人有任何影響。“XcodeGhost不會影響任何App的使用，更不會獲取隱私數據，僅僅是一段已經死亡的代碼。”這個給無數人帶來大麻煩的人這樣説道。

　　不過，這種輕描淡寫遭到了很多安全行業從業者的質疑。林偉就表示，360團隊對其行為的追蹤發現，在半年之前，就有人開始在大量的iOS開發論壇上散佈Xcode的下載連結，甚至還有人入侵了某論壇版主的ID來修改下載連結，而這些下載連結全部指向了同一份網盤文件，如此大規模的舉動，做實驗的説法根本解釋不通。也有網路工程師在微網志上算了一筆賬，這種對用戶資訊的收集，僅僅是使用海外伺服器的成本每月就要四五十萬美元。“這僅僅是個苦×開發者的個人實驗？”

　　韓爭光也認為，進行這種駭客行為對製造者的技術水準要求很高，絕非一般人能夠所為，而且從其一系列行為來看，不大可能是一個人做出來的，應該是有一個團隊在操盤，背後很可能是和黑産産業鏈有關係。

　　360公司對記者表示，目前已經通過技術手段基本鎖定了病毒製造者的身份，並且已經報警，正在配合警方進行調查。不過360相關人士表示，在警方結案前還不能公佈關於病毒製造者身份的更多細節。從記者在多個渠道獲得的資訊來看，病毒製造者並非一個人，其中一名主要成員曾是國內某名校的保送研究生，不過已經退學。

　　3 建議

　　用戶應定期修改密碼

　　不管駭客是怎麼得手的，對於普通用戶來説，最重要也是最關心的事只有一個，那就是自己的手機究竟安不安全？“微信、滴滴打車、12306，這些應用我都裝了，還做過支付，會不會有風險？綁定的信用卡會不會被盜刷？”很多用戶急切想知道答案。

　　從上述“病毒開發者”回應來看，“XcodeGhost”收集的數據確實不涉及太敏感和關鍵的資訊，目前尚無證據證實“XcodeGhost”有利用收集用戶資訊違法獲利的行為，也沒有收到用戶損失方面的報告。從這個方面來説，即便安裝了受影響的App，iPhone用戶也不必過於緊張。

　　不過，韓爭光認為，雖然現在看不到這個惡意程式造成了什麼損失，但這個惡意程式是可以帶來很多更嚴重威脅的。就像一個高明的竊賊撬開了嚴密的防盜門，進到一個人家，這一次只是留下了幾張“小廣告”就走了，但是他將來是有能力進到家中把財物席捲一空的，“也有可能家中失竊了，但是房主還沒有發現。”

　　韓爭光建議，手機中安裝了受到影響的App的用戶，如果是常用的應用，就暫停使用，等開發者發佈新的版本更新後再使用；如果是不常用的應用，可以直接卸載。他同時還建議，雖然目前沒有看到造成損失的案例，但確實存在洩露個人關鍵資訊的風險，還是建議用戶修改一下手機中的重要密碼。無論有沒有安全事件，定期修改密碼都是一個良好的習慣。

　　開發者應確保開發環境安全

　　這一次的“XcodeGhost”事件和以往的安全事件很大的不同在於用戶其實開始是無從防範的，蘋果應用的開發者成為了病毒傳播鏈條上很關鍵的一環。雖然病毒製造者污染了Xcode工具，但如果開發者都從正規渠道下載這一工具，也不會造成現在的局面。

　　有iOS開發者表示，從其他渠道下載Xcode而不是從蘋果官方渠道下載，其實是業內很普遍的行為，因為官方下載渠道速度太慢，很多程式員為了節省時間往往直接使用國內的下載工具下載，這就給了“XcodeGhost”病毒可乘之機。

　　獵豹移動表示，這件事給程式員敲響了警鐘：要安全，首先得保證自己的開發工具安全。程式員被駭客暗算的事曾經多次發生，無論如何，建議使用正版、未被非法篡改過的開發工具編寫程式，避免用戶成為受害者；其次，編譯環境、發佈環境的安全值得注意，編譯伺服器和自動發佈伺服器，應保持乾淨的環境，不要隨意安裝來源不明的可疑軟體。

　　安全行業業內人士表示，這一次的事件給蘋果在安全機制上敲響了警鐘，讓蘋果注意到自身安全機制存在的漏洞，相信蘋果會修補這次安全事件造成的影響，在安全審查上變得更加嚴格。