今日,有网友爆出,iOS数款应用“中招”恶意代码,可能致使用户信息泄露。虽然此前苹果系统已多次爆出隐私泄露等安全问题,但此次中国用户受影响规模之大实属首次,以安全性著称的苹果系统再次引人质疑。iOS数款应用怎么又“中招”恶意代码?
已被证实“中招”的iOS 版网易云音乐、滴滴打车等应用因使用非官方渠道下载的Xcode开发环境,致使应用“感染”恶意代码XcodeGhost。感染后,应用会自动收集并发送信息至远端服务器 init.icloud-analysis.com。
恶意软件作者把嵌入恶意代码的Xcode上传到第三方站点,并进行诱导性推广。苹果应用开发者从第三方下载Xcode后,使用这个已注入恶意扩展代码的开发环境进行开发,编译生成的IOS应用天然带毒,全成了内置间谍功能的“正常”软件,被植入恶意程序的应用可以在App Store正常下载并安装使用,开发者和用户都浑然不觉。
虽然网易云音乐已回应称“应用只上传系统信息,不涉及用户信息。”但安全专业人士警告:不能排除受感染应用的使用风险。对普通用户而言,这段时间不要用这些App进行支付和订单有关的操作,可以更改iCloud、支付宝等支付密码。如果完全不放心先删除掉这些App直到下次应用更新。
无论是使用黑苹果(非苹果机上安装的破解版OS X系统)开发,还是使用第三方下载的Xcode,都属于不规范的开发流程。同一公司同一开发环境输出的其他App似乎很难避免不受影响,“中招”应用可能远远不止现在已被发现并报告的若干个案。
实际上,国家互联网应急中心已经发布“关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报”;乌云网和硅谷安全公司Palo Alto发布安全预警提醒开发者小心,并指出XCodeGhost虽然没有非常严重的恶意行为,但是这种病毒传播方式在iOS上还是首次。“XCodeGhost”事件通过Twitter、微博引发讨论,苹果用户开始恐慌。
可见,iOS数款应用又“中招”恶意代码了,而按照苹果App正常审核至少需要1周的时间估算,这次XcodeGhost的问题可能9月初就已经出现。