許多臺(tái)灣人因?yàn)榻?jīng)商頻繁或朋友往來(lái)中國(guó)之故�,在手機(jī)上安裝許多中國(guó)的手機(jī)應(yīng)用程式或服務(wù)。除了 Android 平臺(tái)手機(jī)品牌小米、華為等���,通常許多臺(tái)商最信賴的就是 Apple 的 iOS 裝置,如 iPhone 或 iPad 等��。這樣的信賴是建立在 AppStore 審查的應(yīng)用程式��,通常保證了一定的穩(wěn)定性與安全性����。但在本週���,這種信賴恐怕將產(chǎn)生了變化��。
知名的開(kāi)放資訊安全中文漏洞報(bào)告平臺(tái) Wooyun 在 9 月 17 日披露了部分 iOS Apps 可能存在安全性問(wèn)題�����,這些 Apps 會(huì)在使用時(shí)自動(dòng)向特定網(wǎng)站上傳資訊�����。這些 Apps 都是以受到第三方原始碼污染的 Apple 開(kāi)發(fā)工具 Xcode 所編譯����,因此編譯完成的 Apps 的包裝里帶有(通常稱做被注入木馬)第三方放入的特定資訊。進(jìn)而產(chǎn)生上述的安全問(wèn)題����。
這個(gè)問(wèn)題可能主要源自于中國(guó)境內(nèi)目前的“實(shí)體網(wǎng)路管制”。雖然 Apple 的開(kāi)發(fā)工具 Xcode 是幾近免費(fèi)提供給所有的開(kāi)發(fā)者�����,其要求 Apple 的開(kāi)發(fā)者需要具備可以運(yùn)作 Mac OSX 的電腦(也就是 Apple 的 PC 或 Notebook)�����,如果要公開(kāi)發(fā)布 Apps����,則需負(fù)擔(dān)每年約 3000 元新臺(tái)幣的開(kāi)發(fā)者帳號(hào),但因許多中國(guó)開(kāi)發(fā)者在連往位于美國(guó)的 Apple 伺服器下載 Xcode 時(shí)��,會(huì)受到中國(guó)目前實(shí)體網(wǎng)路存在有俗稱為網(wǎng)路長(zhǎng)城的過(guò)濾機(jī)制干擾�����,導(dǎo)致下載速度十分緩慢�,甚至容易斷線。
這些開(kāi)發(fā)者可能就會(huì)選擇其他開(kāi)發(fā)者事前已經(jīng)下載完畢,并儲(chǔ)存在中國(guó)境內(nèi)流行的云儲(chǔ)存服務(wù)���,例如百度云的網(wǎng)路空間上�����。這些轉(zhuǎn)向下載的行為讓木馬開(kāi)發(fā)者有了動(dòng)手腳的空間����,將經(jīng)過(guò)第三方原始碼污染的 Xcode 放在百度云上���,再透過(guò)中文的開(kāi)發(fā)者論壇或微博的傳散,將有問(wèn)題的開(kāi)發(fā)者工具 Xcodeghost 散布給中國(guó)眾多的 Apple 開(kāi)發(fā)者���,按照 Wooyun 知識(shí)庫(kù)所稱�,這可能是在許多中文 iOS 論壇與微博中�,網(wǎng)名 codefun 的個(gè)人或團(tuán)體所為。
(圖說(shuō):這次的XcodeGhost事件�����,主要可能因?yàn)橹袊?guó)網(wǎng)路長(zhǎng)城的管制造成開(kāi)發(fā)者誤用了非官方的污染開(kāi)發(fā)套件)
開(kāi)發(fā)者使用 XcodeGhost 進(jìn)行開(kāi)發(fā)并編譯 apps 時(shí)���,apps 會(huì)自動(dòng)包含一段程式碼���,取得 iPhone 或 Apps 的一些基本資料���,包含時(shí)間、Apps名稱�、Apps的bundle ID(Apps程式包ID)、Apps名稱�、作業(yè)系統(tǒng)版本、手機(jī)型號(hào)��、手機(jī)版本別��、系統(tǒng)語(yǔ)言�����、國(guó)家等�,并將上述這些欄位資料上傳至 init.icloud-analysis.com,這是放毒者所注冊(cè)用于蒐集上述資料的網(wǎng)址�,目前該站與伺服器已經(jīng)關(guān)閉,并且很難查出相關(guān)的注冊(cè)資訊�。
這些蒐集資訊的行為對(duì)于 Apps 開(kāi)發(fā)商來(lái)說(shuō)是很正常的過(guò)程,因此 Apple 的 Appstore 在隱私權(quán)保護(hù)的範(fàn)圍內(nèi)并不會(huì)太過(guò)關(guān)心這樣的程式碼����,也因此受到污染的 Xcodeghost 可以橫行一段時(shí)間�����。
為了避免在網(wǎng)路上下載相關(guān)的應(yīng)用程式有被污染之嫌�����,一種常見(jiàn)的作法��,是透過(guò)特定的演算法對(duì)下載完成的檔案演算出特定獨(dú)一無(wú)二的號(hào)碼��,與網(wǎng)站所公布的進(jìn)行校驗(yàn)比對(duì)���。但這樣仍有可能無(wú)法防止假冒或惡意散布被污染過(guò)的程式橫行����。
本次已經(jīng)知道受到 XcodeGhost 所影響的 iOS 平臺(tái)應(yīng)用程式,主要包含臺(tái)灣人常用的微信��、名片全能王�����、滴滴出行(原滴滴打車(chē),本月份升級(jí)改名)����、12306(中國(guó)鐵道部票務(wù)應(yīng)用程式)、掃描全能王(CamScanner)�、微博相機(jī)、豆瓣閱讀����、高德地圖、中國(guó)聯(lián)通手機(jī)營(yíng)業(yè)廳�����、中信銀行動(dòng)卡空間(大陸中信銀行客戶之行動(dòng)銀行專用應(yīng)用程式)等等����。
微信團(tuán)隊(duì)在其官方微博上面做出的公開(kāi)聲明表示:“目前確認(rèn)Xcodeghost所影響的問(wèn)題存在于微信 iOS 6.2.5,建議使用者可以盡快透過(guò)升級(jí)微信應(yīng)用程式修復(fù)��。目前沒(méi)有發(fā)現(xiàn)這個(gè)問(wèn)題造成用戶的直接影響����,包含資訊或財(cái)產(chǎn)的直接損失,但微信團(tuán)隊(duì)仍會(huì)持續(xù)關(guān)注和監(jiān)測(cè)�����。”
滴滴出行也在其官方微博發(fā)表聲明,表示團(tuán)隊(duì)在第一時(shí)間得知就已經(jīng)處理這個(gè)發(fā)生于 4.0 版本“滴滴出行”的問(wèn)題:“已經(jīng)在 9月 19日更新為 4.1.0 版��,大家可以更新新版和放心使用�����。感染源的伺服器已經(jīng)被關(guān)閉����,不會(huì)再產(chǎn)生任何威脅”
根據(jù)資安廠商 Polo Alto Network 的整理,透過(guò)不同的網(wǎng)站報(bào)導(dǎo)或資訊安全公司測(cè)試�,以下的 iOS 應(yīng)用程式(不計(jì)游戲類(lèi))已經(jīng)確認(rèn)受到污染,污染範(fàn)圍可能會(huì)隨著測(cè)試增加逐漸擴(kuò)大��。
具稱是 XcodeGhost 的原始作者在微博上澄清表示����,這個(gè) XcodeGhost 其實(shí)是他自己的資訊安全技術(shù)實(shí)驗(yàn)��,他發(fā)現(xiàn)修改 Xcode 編譯設(shè)定腳本可以加上使用者自己指定的程式檔案�,所以他寫(xiě)下了這個(gè)程式測(cè)試,并上傳到自己的網(wǎng)路空間上��。他表示,除了上述的基本應(yīng)用程式資訊外����,他另外在程式里加入了網(wǎng)路廣告的功能,希望將來(lái)可以推廣自己的應(yīng)用程式�,但他實(shí)際上并未使用過(guò)廣告功能,且已經(jīng)刪除所有數(shù)據(jù)��,希望不會(huì)對(duì)任何人有任何影響�����。隨后���,作者并將其本次實(shí)驗(yàn)所有的程式碼公布在 Github 上���。
《數(shù)位時(shí)代》建議讀者,可以將你手中常用的 iOS 中國(guó)市場(chǎng)應(yīng)用程式整理成幾個(gè)專用的資料夾��,時(shí)常透過(guò)更新注意這些應(yīng)用程式背后的團(tuán)隊(duì)���,是否已經(jīng)快速針對(duì)這個(gè)問(wèn)題進(jìn)行處置�。這個(gè)事件也通常提醒許多大型軟體與服用應(yīng)用開(kāi)發(fā)商����,應(yīng)該成立專責(zé)的團(tuán)隊(duì)��,針對(duì)開(kāi)發(fā)與部屬環(huán)境進(jìn)行嚴(yán)苛的控管�����、測(cè)試與整理��。
文章來(lái)源:機(jī)房監(jiān)控 http://www.2hongbao.com
