苹果安全防线陷信任危机

　　实习记者 范晓

　　上周，苹果App Store遭遇了自上线以来堪称最大规模的攻击—— XcodeGhost木马后门病毒，涉及应用数量超过想象，包括“国民app”微信、百度音乐、网易云音乐、滴滴出行、高德地图、同花顺、12306、58同城、工银融e联等大量知名的app均被渗透。

　　但万幸的是，XcodeGhost还在“试探性”阶段就被及时曝光，用户可以通过升级版本，更改密码来及时补上漏洞。记者了解到，这已经不是苹果第一次遭受木马病毒攻击。2012年，Flashbake木马病毒爆发，74.8万台苹果计算机被感染，苹果公司被迫将“It doesn't get PC viruses”(它不会感染电脑病毒)的宣传语悄然替换为“It's built to be safe”(它致力于搭建安全的系统)。

　　而这次木马病毒的感染，波及用户可能上亿，很多用户在未使用“越狱”版本的情况下，依然无辜中招儿，这让苹果iOS系统的安全防线陷入前所未有的信任危机。

　　XcodeGhost是何方妖孽？

　　据华为北京研究院一位系统研发人员介绍，一款app的发布，比如微信、滴滴、58同城等，首先是要编写源代码，在编写完成后，则需要将代码编译成“可执行的文件”进行打包发布。苹果iOS app的开发需要通过苹果自家出的Xcode，把源代码编译为可执行的app，开发者才能把app上传到苹果应用商店后台，经过苹果官方审核后，app在应用商店App Store上架，正式开放下载。

　　“这本来没什么问题，但由于Xcode 体积较大，有几个GB，国内开发者如果直接从苹果下载的话速度非常缓慢。XcodeGhost木马的开发者利用了这一点，将加了后门木马的Xcode工具上传到国内网盘上，然后在各种 iOS开发论坛发帖、回复进行散播。”该研发人员说。

　　由于木马作者提供的 Xcode版本齐全，国内网盘下载速度相比苹果官网也更加快速，各大公司的程序员在想要下载Xcode时只要轻轻搜索一下就上钩了。然而，这个“加了料”的Xcode会在程序员编译app的时候偷偷自动地把XcodeGhost的恶意代码也一并编译进去了，但“程序猿”们对此毫不知情。

　　“按道理，每款app被放置到苹果的官方应用商店供用户下载前，是需要通过苹果平台的检测的。”该研发人员告诉记者，遗憾的是苹果也没有检验出应用里含有木马病毒，很多app用户因此中招儿。

　　上百款app被感染

　　XcodeGhost就像无处不在的“幽灵”一样，成为苹果iOS app此次“集体中毒事件”的罪魁祸首。那么，有哪些app中招儿了呢？很不幸，有“国民app”之称的微信iPhone版6.2.5，已经确认被感染。

　　9月18日21时43分，微信团队通过官方微博称：“网上传播微信6.2.5版本存在严重漏洞的说法，微信团队说明如下：该问题仅存在iOS 6.2.5版本中，最新版本微信已经解决此问题，用户可升级微信自行修复，此问题不会给用户造成直接影响。”

　　微信团队在声明中表示，“目前尚没有发现用户会因此造成信息或者财产的直接损失。”

　　据不完全统计，目前已发现上百款app感染了XcodeGhost木马，其中不乏百度音乐、微信、高德地图、滴滴、58同城、网易云音乐、12306、同花顺、南方航空、工银融e联、名片全能王、愤怒的小鸟2等用户量极大的app，涉及互联网、金融、铁路航空、游戏等领域。

　　据了解，在用户使用了被植入XcodeGhost恶意代码的app后，app会自动向病毒制造者的服务器上传诸如手机型号、系统版本、应用名称、应用使用时间、系统语言等隐私信息。

　　一位用户名为“唐巧_boy”的网友发微博称：“XcodeGhost这件事情,苹果自己也有责任，Mac App Store下载速度慢得要死，每次下Xcode花个几十分钟非常正常，这才造成大家都用迅雷和百度网盘这种非官方渠道。就说现在吧，我的Mac系统更新了一上午，还是处于卡顿无进度状态。说多了都是泪。”

　　苹果用户可修改账户密码

　　对于此次病毒风波，苹果已经开始对受感染的app进行下架了，木马制造者用于接收窃取信息的服务器目前也被关闭。

　　但业内人士建议，基于安全的考虑，如果在近一段时间（1至2个月内），普通用户在这些受影响的应用中输入过敏感信息，如icloud密码、信用卡信息等，最好对涉及的密码、支付方式等进行修改，建议开通苹果账号的二步验证以防账号被盗或被利用。

　　对于普通的苹果用户，建议暂停使用这些受感染的app，并在设置里关闭其“后台刷新”，或下载已经弥补漏洞的最新版本。

　　此次事件应该是苹果App Store自上线以来遭受的规模最大的攻击了，涉及应用数量超过想象，但万幸的是XcodeGhost还在“试探性”阶段就被及时曝光，倘若病毒再升级，增加更多功能，如对各种密码输入框进行监听等，很有可能成为中国甚至全球涉案金额最高的黑客事件之一。因此，苹果的安全审查策略亟待提升。

　　这次事件也对各大网络公司的开发人员敲响了警钟。对于信任他们的用户来说，开发者有责任从源头予以保证，包括代码来源的安全干净及使用正版苹果系统。使用iOS设备也不要尝试越狱，这等于是给黑客开启了安全门。