迷雾重重：XcodeGhost究竟是恶意病毒还是“无害的实验”？

浮尘

随着XcodeGhost事件的持续发酵，安全圈在这个周末显得尤为热闹，各路消息、分析、猜测甚至“阴谋论”纷至沓来。技术调查、涉事厂商名单、补救措施，甚至对事件始作俑者展开了人肉搜索。而今天凌晨XcodeGhost作者的道歉声明更是将事件推向高潮，大多数技术圈人士不约而同发出了责问：尽管你开源了，但真是“无害的实验”？号称影响了超过1亿用户（保守估计）的后门鬼魅，一句“苦逼iOS开发者的意外发现”就可以推脱？

尽管作者的“澄清”微博将整起事件轻描淡写，结尾还不忘祝周末愉快，祝福虽好，但这个周末注定会有技术人们愉快不起来（例如盘古移动团队的兄弟们可是一宿未眠啊）。随着时间的推进，事件最终会走向何方，我们暂且不得而知。但通过对XcodeGhost事件整体的梳理后，我们却不难从中看到此次事件的影响力之大，波及面之广，以及待解的谜团是如此之多。

事件回顾

Xcode是苹果APP开发工具，XcodeGhost作者将恶意代码植入到Xcode安装包中并发布到了网上。不同的开发者出于一些原因没有从官网下载Xcode而是下载了含有恶意代码Xcode，于是编译出的APP包含恶意代码并最终走入了用户手中。

经多方研究发现，感染的APP会在程序开启和关闭时自动上传使用者的数据，若攻击者有心对此加以利用也可以轻松控制用户的设备，进行钓鱼攻击以及中间人攻击。

· 腾讯应急响应中心（TSRC）最先发现了这一问题，并在9月11日及时发布了微信更新。随着CNCERT发布预警公告，这个魅影逐渐显露出来。
· 9月16日，TSRC发现AppStore上的TOP5000应用有76款被感染；9月17日，国外安全公司Palo Alto发布第一版分析报告，随后阿里移动安全也发布了分析报告。
· 9月19日凌晨4:40，自称XcodeGhost作者现身微博，发文称XcodeGhost是“源于自己的实验，没有任何威胁性行为”，收集的是app信息：“APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息”并公布了源代码。
恶意影响堪称iOS应用史上之最大

目前，根据盘古团队最新发布的数据显示，已检测到超过800个不同版本的应用感染了XcodeGhost病毒。

之前公布的受影响APP（部分），括号内为版本号：

微信（6.2.5）、网易云音乐（2.8.3）、滴滴出行（4.0.0.6-4.0.0.0）、滴滴打车（3.9.7.1 – 3.9.7）、铁路12306（4.5）、51卡保险箱（5.0.1）、中信银行动卡空间（3.3.12）、中国联通手机营业厅（3.2）、高德地图（7.3.8）、简书（2.9.1）、开眼（1.8.0）、Lifesmart（1.0.44）、网易公开课（4.2.8）、喜马拉雅（4.3.8）、口袋记账（1.6.0）、豆瓣阅读、CamScanner、CamCard、SegmentFault（2.8）、炒股公开课、股市热点、新三板、滴滴司机、OPlayer（2.1.05）......
盘古目前仍在检测更多的应用, 紧急加班开发了一款病毒检测工具, 下载地址 x.pangu.io。苹果用户可以根据安装提示自行下载检测工具，迅速找到受影响APP。

究竟是谁挥刀斩苹果

在作者发言“澄清”之前一个多小时前，微博上曝出了XcodeGhost作者的个人信息（截图来自微博用户、360安全团队@矮穷龊-陆羽）：

后来便是作者姗姗来迟的澄清：

“愿谣言止于真相，所谓的‘XcodeGhost’，以前是一次错误的实验，以后只是彻底死亡的代码而已。
需要强调的是，XcodeGhost不会影响任何App的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。”
当然，360安全团队迅速提出质疑，“你的解释很无力，一切都太蓄意，时间也对不上，隐藏自己，变换身份的行为也充分反驳了你的解…”。

接下来，腾讯安全团队也称：通过百度搜索“xcode”出来的页面，除了指向苹果AppStore的那几个链接，其余的都是通过各种id（除了coderfun，还有使用了很多id，如lmznet、jrl568等）在各种开发社区、人气社区、下载站发帖，最终全链到了不同id的百度云盘上。为了验证，团队小伙伴们下载了近20个各版本的xcode安装包，发现居然无一例外的都被植入了恶意的CoreServices.framework，可见投放这些帖子的黑客对SEO也有相当的了解。

安全圈知名专家tombkeeper不仅发布了XcodeGhost作者的消息全文，还评价道：

“事闹大了，就会变成公安部督办案件，就几乎一定能破案，几乎一定能找到人。这时候无论自首还是跑路都比发‘澄清’有意义得多。”
鬼影：XcodeGhost的原型？

其实早在今年三月，外媒披露的报道中已经提及Xcode后门：

根据斯诺登近期爆料的文件显示，CIA在美国桑迪亚（Sandia）国家实验室开发了一款流氓版Xcode。这个版本的Xcode会在苹果开发者的电脑中植入后门，窃取他们的个人开发密钥。

巧合的是，流传的资料显示作者正是从今年三月份开始将Ghost传到网上。因此有网友戏称:XcodeGhost作者是CIA（hou zi）派(qing)来(lai)的(de)间(jiu)谍(bing)吗(ma)？

而与此观点相对应的，ZD至顶网安全频道今天评论称，“担忧是必要的，但还不至于引起恐慌”。文中以目前的公开信息来看，分析出：个人用户并不用担心隐私数据被泄露。多家安全机构分析显示，受感染的APP上报的信息仅是一些设备信息。

“当然，一个不能被验明正身的所谓澄清声明也不足以为信，最终结论还有待相关组织和机构的调查。”
孤军作战还是团队蓄谋？

黎明破晓后是电闪雷鸣－XcodeGhost事件之谜 一文中，安全专家RAyH4c对XcodeGhost作者的声明质疑道：

“这个声明有条有理，公关味之浓到呛鼻，还配上了源代码为自己澄清，我想说如果这件事是哥们你一个人做的，那你确实是天才，因为你以一己之力让全世界用户量最大的app感染上了你的病毒，你将载入史册。你觉得这样的剧情，背后没有团队，大伙信么？

Palo Alto Networks的报告给出了XcodeGhost的三个版本的分析，三个域名，同时还指出了盗取apple id的app木马也感染了这个病毒。那么我想问一下，另外两个版本的实验在哪，做了些什么事？！那些app本身就是个木马，还感染了病毒，真是耐人寻味。”

对苹果用户的安全建议

盘古团队成员告诉FreeBuf：目前形势依然严峻，他们还在加紧新版本检测工具的开发。对于恶意代码样本分析网上已经出现得很全了，不过又出现了变种。尽管“XcodeGhost作者”已经将代码开源，但是如果有人针对受感染的App进行中间人劫持等攻击手段，还是可以执行的。

因此，苹果用户万万不可掉以轻心。假设这是一场“实验”，那也已经步入了危险的境地。

首先，更换Apple ID密码。然后，检测到受影响的App如果有新版本发布，就尽量更新到最新，然后再次扫描。如果还有问题，则建议卸载，等待官方更新。

目前，苹果公司还未对此作出回应，但是已有不少受影响APP被从App Store下架。

苹果公司一直以自家封闭的iOS系统安全性和严格准入的APP Store市场引以为傲，Xcode后门不仅使iOS安全面临种种质疑，也让苹果被尴尬地打脸。今年陆续被曝出的iOS系统高危漏洞，此次后门事件的雪上加霜，也许人们该意识到——苹果并不是“永远安全的手机系统”。

另一种声音：“后门事件”炒的有点过火了

不过网络上也出现了另一种声音，有网友称：“如果XcodeGhost作者所说的属实（只收集APP信息），一个不具备威胁性质的代码怎么就算个后门了，又被扣上一个用户隐私被威胁的帽子。你自己看看PC时代上面有多少数据正在被无声的上传中，更何况手机时代。要知道，安全发展已经停滞发展很久了。这就是一个无厘头的乌龙。尤其看到这句我就想笑：‘恶意程序的主要来源：百度网盘、迅雷等第三方平台。’”

注：根据腾讯的分析报告，在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器；黑客可以下发伪协议命令在受感染的iPhone中执行，在受感染的iPhone中弹出内容由服务器控制的对话框窗口。这两点足以说明该程序具有窃密性质，因此FreeBuf对上述说法存保留意见。

Lucifer

H.U.C-麦麦

学习学习技术，加油！

wanmznh

支持，看起来不错呢！

wanmznh

感谢楼主的分享~

小龙

Lucifer

H.U.C—Prince

arctic

支持，看起来不错呢！

wanmznh

支持中国红客联盟(ihonker.org)