商业安全评估机构与应用软件开发者等认为,这次iOS系统受XcodeGhost木马后门感染事件,一定是有组织、有预谋的团队所为,而绝非普通黑客做“实验”这么简单,该事件或将成为今年国内最严重的信息安全事件。
XcodeGhost事件仍在持续发酵。 9月14日,国家互联网应急中心在官网发布了“关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报”。通报称,国内开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序时,会向正常的苹果App植入恶意代码,这些受感染的苹果App可以在App Store正常下载并安装,且恶意代码具有信息窃取行为,并可进行恶意远程控制的功能。
近日,业界知情人士称,这次iOS系统木马入侵事件,已导致大约1亿左右苹果手机用户受到感染影响,另由Unity开发引擎开发的游戏软件也可能已被“投毒”,这意味着不仅是苹果系统手机“中枪”,包括微软和安卓系统在内的部分游戏软件同样存在感染XcodeGhost木马的安全风险。
XcodeGhost事件虽然没有在用户群引起广泛关注,但对于软件开发者而言是一次不小的地震。技术人员表示,号称全球安全系数最高的手机系统苹果iOS被悄无声息地攻破,进攻者入侵后还可快速全身而退,绝非常人能所及。
业内专家龙威廉向《财经》记者分析,主导者至少准备了半年甚至更长时间,因为6月份国内一些软件开发的专业论坛,就出现过大量推广下载Xcode进行软件开发的帖子。
主导者先将正版苹果App开发包 Xcode的源代码进行修改嵌入恶意代码,而后将修改的开发包上传至百度网盘,并不断在各大论坛刷帖,提高关键词热度使其不断优化得到推广,当软件开发者在搜索引擎输入Xcode等关键词时,这个仿冒的开发包就会被自动推送到上端,并最终链接到百度网盘的网址,供开发者下载使用。
开发者会优先下载使用百度网盘的数据,是缘于正版的 Xcode下载速度过慢,据悉苹果正版软件开发包容量有5GB,以国内网速而言,需要很长时间。百度网盘只需很短时间就可完成下载。App软件开发者在使用这个开发包时,很难辨识出其中是否暗藏有木马,因为Xcode嵌入的恶意代码属于二进制代码,开发过程中可通过Core Service库文件进行感染,具有极高的隐秘性和迷惑性,需对源代码进行编译后再用专业的抓包工具进行检测,才可能发现疑似病毒。
“无论是国内软件开发者还是苹果公司的安全人员,都没有预料也很难发现这个漏洞。”一位知情人士称,Xcode事件的主导者能成功躲过安全系统的层层审核,至少说明当事者对苹果安全审核机制以及国家监管体系等都非常清楚,才能做到在中国本土化的iOS系统安插“后门”,搜集用户信息。
9月16日,腾讯安全中心和360公司的技术人员陆续发现,苹果iOS系统App Store上的Top5000应用有数百款被该木马感染。其中包括装机量过亿的微信iOS(6.2.5版)、高德地图(7.3.8版)以及中信银行动卡空间(3.3.12版)、中国联通网上营业厅(3.2版)、滴滴打车(3.9.7版)、网易云音乐(2.8.3版)、51卡保险箱(5.0.1版)、同花顺(9.26.03版)、喜马拉雅(4.3.8版)等。
9月19日,一位自称是XcodeGhost事件主导者的网友发微博声明称,这只是实验项目,无任何危险,更不会获取用户的隐私数据。微博强调其搜集的数据都是App 的基本信息,如应用号、系统版本号、设备名等,且于9月9日就主动关闭了服务器并删除所有数据。
对此,9月20日,苹果方面回应称,在这次攻击中,黑客诱骗应用开发者使用了修改过的苹果应用开发工具Xcode,并将恶意代码注入这些应用。
苹果发言人克里斯汀·莫纳汉(Christine Monaghan)则在一封电子邮件中表示,苹果工作人员已从iOS App Store中删除了这些基于伪造工具开发的应用,并与开发者合作,确保他们使用合适版本的Xcode去重新开发应用。
据悉,这也是App Store首次遭遇大规模信息安全攻击。
有技术专家表示,虽然搜集信息的服务器已被关闭,但并不代表其他黑客不会利用已被攻破的路径或类似路径,去控制被感染用户的手机。专家建议,被感染用户需及时删除和更新被感染木马的APP,否则仍将存在个人信息泄露和被搜集其他信息的安全隐患。
按照Xcode嵌入代码的设计,其可随时向被感染手机发送指令,如强制弹出广告,获取更多个人信息。这意味着,被感染用户收到银行App系统发送的输入账户和密码指令,有可能并不是由银行发出。消息人士进一步指出,事件中已知4家国有大型银行App中招感染了该木马。
中国市场有4亿5千万台智能手机设备,其中约有1亿3千万台安装了苹果系统。据商业安全机构的评估测算,这次XcodeGhost事件至少导致1亿左右的iOS系统用户“中毒”。
一波未平一波又起。
9月23日上午,百度安全实验室发现Unity3D等多款用于游戏开发的工具,同样被插入了类似XcodeGhost的恶意代码,该恶意代码目前被阿里移动安全团队命名为“Unity Ghost”。
据悉Unity可发布游戏至Windows、OS X、Wii、iPhone、Windows phone 8和Android平台。一些软件开发团队(盘古越狱团队等)证实,部分游戏开发引擎的安卓版已被感染“Unity Ghost”。
中国互联网领域研究人员介绍说,近年来中国互联网安全受到了极大挑战。去年包括如家和汉庭在内的一半左右经济型酒店的开房记录数据库被攻破;今年中国互联网络信息中心(CNNIC)颁发了一个可用于中间人攻击的SSL证书,被谷歌Chrome浏览器和火狐浏览器禁止;5月底,携程的根数据库被格式化;7月份百度被劫持;以及9月份苹果iOS系统被木马入侵等。
“就目前情况相比较而言,XcodeGhost木马入侵事件,很有可能成为今年最严重的信息安全事件。”上述研究人员表示,这次攻击三个月至少花费50万美元,而对于大投入却未见收益就戛然而止的项目,个人或商业机构一般不会去做,也就是说此事必定为掌握大量关键资源和大量资金支持的团队长期部署所为。
《财经》记者还获悉,XcodeGhost事件爆发后,除商业安全评估机构和业界技术专家在关注外,互联网办公室与工信部等国家高层监管系统,也在密切监控该事件发展动向。
iOS系统失守,国内的安卓系统则更不容乐观。据猎豹移动安全实验室发布的《2014-2015中国互联网安全研究报告》显示,去年全球感染病毒的安卓手机计2.8亿部,平均每天80万部安卓手机中毒,中国以近1.2亿部手机中毒高居榜首,中国已成为全球受安卓病毒之害最严重的国家。
从立法层面,如何避免大数据时代技术为刀俎,用户为鱼肉,确保用户信息安全,仍将是一个值得持续深思的问题。
