苹果Xcode事件 看国内三大机构如何点评

这也许是果粉最漫长又最黑暗的一个周末。

9月18日的苹果Xcode恶意代码事件闹得沸沸扬扬，让人不禁愕然：苹果终于也沦陷了吗?事件发生后，各种安全团队也很给力，马不停蹄横看成岭侧成峰地各种分析，公开半公开的分析报告迷花乱眼。i春秋、腾讯玄武实验室、360实验室作为国内最著名的三家安全研究机构也迅速反应，对此事件做出了更为详细的总结，并发表了独家看法，且看他们如何说。

首先来回顾一下XCodeGhost事件。

·腾讯应急响应中心(TSRC)最先发现了这一问题，并在9月11日及时发布了微信更新。

·9月14日，CNCERT发布了一个安全公告，警告非官方的若干版本的Xcode程序包(苹果系统的软件开发包)被做了恶意的修改被并故意大范围散发诱导使用，经由这个Xcode开发包编译的苹果系统程序会被植入恶意代码。

· 9月17日国外安全公司Palo Alto Networks的研究员发布一个对相关恶意代码的跟踪报告，确认了问题的存在，明确了更多的技术细节。

同时，数十个iOS App被证明受此影响，其中不乏有使用率极高的12306手机客户端、滴滴打车(已更名为滴滴出行)、中信银行行动卡空间、高德地图、网易云音乐、中国联通手机营业厅等数十个APP被此开发工具感染。

在此期间，9月16日，腾讯玄武实验室人员发现AppStore上的TOP5000应用有76款被感染，并向苹果官方及大部分受影响的厂商同步了这一情况。

9月18日，360公司对事件做了深入的挖掘，定位到了始作俑者，对恶意代码做了完全的分析，重现了可能的攻击场景。

360：疑点重重，为你拨云开雾

此前，一个名为“XcodeGhost-Author”的ID在微博上发表声明，声称“所谓的‘XcodeGhost’，以前是一次错误的实验，以后只是彻底死亡的代码而已。”

但是360安全团队迅速提出质疑：“你的解释很无力，一切都太蓄意，时间也对不上，隐藏自己，变换身份的行为也充分反驳了你的解……”

究竟是谁挥刀斩苹果?攻击者的目的又是什么?此次行为是孤军作战还是团队蓄谋?疑点重重之下，360为我们拨云开雾。

在得知事件的第一时间，360企业安全天眼实验室已经立即把相关的威胁情报加入到天眼系统的可机读威胁情报集(IOC)中，目前客户处的天眼系统只要升级威胁情报集就能即时发现受恶意代码影响的系统。

360威胁情报中心对恶意代码所使用的网络基础设备做了深入的挖掘关联，得到了大量相关的信息，包括关联的域名、注册信息、访问来源等，为最终定位攻击者提供了必要的数据支持。

通过查询360威胁情报中心的云端数据，发现被植入到应用程序中的后门所连接的C&C服务器的3个主要域名之一的init.icloud-analysis.com 最早在3月4日就被访问。通过监测架设了天眼系统的大流量生产实验环境的数据，360还发现近半年来已有大量IP地址访问过XcodeGhost木马的C&C域名服务器，说明在现实网络环境中已经有了大量感染情况发生，这些数据绝大多数来自于企业内通过无线共享程序连接到PC上的手机系统。

对此，360建议，如果内网中有程序可以主动外联黑客的C&C服务器，也就意味着黑客可以很轻松的向内网植入更多地木马，发起下一步的渗透攻击。对于企业内部员工，建议发起对于自己的苹果设备(iPhone或iPad)的自查工作;对于提供苹果App软件的企业，建议使用一些安全解决方案来进行检测;为防止威胁扩大，检查并关闭企业内存在的私建WIFI热点，对于企业内的官方WIFI热点加强管理和监控。

i春秋：快去改密码!

根据i春秋学院信息安全专家李肖介绍，携带恶意代码的Xcode压缩包文件先是被发布到了Douban, SwiftMi, CocoaChina, OSChina等几个论坛网站，然后又在百度云出现了大量下载文件。此外，它还成功感染了迅雷的离线服务器，也就是说，如果程序员常用下载软件是迅雷的话，就算输入苹果官网的地址下载下来的dmg仍然有可能是被修改过的。

应该承认，这种直接把恶意代码嵌入了开发工具源头的另类传播方式让其在传播广度上获得了非常好的效果——初步估计，目前受影响的用户已经达到数亿级别。

永信至诚创始人、被称为国内白帽黑客之父的蔡晶晶说，这次事件足以载入移动安全的史册，其对苹果开发工具感染的技巧堪与著名的伊朗铀浓缩设备被蠕虫损坏的震网事件相提并论。

用户如何去规避?i春秋认为最简单的方法就是改密码。尽管目前已经查明上传的数据内容并不算劲爆，但Apple ID是肯定已有泄露，因此用户需要尽快修改iCloud的密码。而且袭击者的目的并不明确，为防止未来的损失，尤其是用户如果有其他信息与之绑定，特别是涉及个人隐私，需得尽快处理。

i春秋认为不仅要对事件始末进行追溯，最重要的还是要进行反思。i春秋认为，这件事情最需要引起反思的是国内的企业程序员和开发团队。虽然问题的直接原因是程序员未能严谨地使用经过校检的Xcode开发工具，但企业开发团队流程的疏漏、开发人员安全观念的淡薄，尤其是企业内部安全管控审核不严才是更深层次的因素。所有的开发公司和开发者都需要引以为戒，安全隐患一直潜伏待发。

　腾讯玄武：给你一份最完整的XCodeGhost事件报告

腾讯玄武在19日公布这份报告之前，拜读了各种有关病毒行为、传播方式、影响面积甚至还有攻击者人肉信息的分析报告，居然还声称这些都不是最完整的，于是乎，这份堪称是最完整的XCodeGhost事件回溯分析报告就出炉了。

玄武实验室对事件始末、被遗漏的样本行为分析、感染途径、影响面这四个方面对XCodeGhost事件进行了具体分析。

腾讯安全团队称：通过百度搜索“xcode”出来的页面，除了指向苹果AppStore的那几个链接，其余的都是通过各种id(除了coderfun，还有使用了很多id，如lmznet、jrl568等)在各种开发社区、人气社区、下载站发帖，最终全链到了不同id的百度云盘上。为了验证，团队小伙伴们下载了近20个各版本的xcode安装包，发现居然无一例外的都被植入了恶意的CoreServices.framework，可见投放这些帖子的黑客对SEO也有相当的了解。

在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器;黑客可以下发伪协议命令在受感染的iPhone中执行，在受感染的iPhone中弹出内容由服务器控制的对话框窗口，这两点足以说明该程序具有窃密性。

腾讯安全团队称：“经过这两年若干次攻击手法的洗礼后，我们更加清醒地意识到，黑产从业者早已不是单兵作战的脚本小子，而是能力全面的黑客团队。总结来看，移动互联网安全之路任重道远。当然，这里的危机也是安全行业的机遇。”

欲读报告完整版：http://security.tencent.com/index.php/blog/msg/96

编者观点：

此次XCode事件的恶意影响堪称iOS应用史上之最大。果黑把罪过推到苹果身上：如若不是直接访问苹果官方站点下载Xcode太慢，许多程序员也不会为了方便，不选择从苹果网站直接下载官方提供的Xcode，而是选择从各大论坛、网盘上找第三方资源提供的Xcode程序。

而苹果真爱粉誓死捍卫苹果的尊严：Xcode作为iOS APP的开发编译工具，是被别有用心的人植入了恶意代码。而且既然有官方途径，你们这群愚蠢的人类为什么还要选择在网盘或者论坛下载开发工具呢?自己吃不了猪肉反而还怪猪肉难吃?简直自作自受。

佛说，凡事皆有因果。小编以为，这次事件是要引起足够的担忧，但不至于炒得过头，引起不必要的恐慌。最重要的是，万不可偏颇一方，安全本是相对而言的，无绝对安全之事，也无绝对隔缘之物。责难与谩骂倒不如反思与自省，反思与自省又不如实际做出改变。国内安全团队在天花乱坠的文字分析的同时，如何从行动上真正为用户负责才是值得去思量的。