騰訊科技訊（梁辰）9月19日，一個(gè)名為“XcodeGhostSource”的帳號在GitHub發(fā)布“關(guān)于所謂”XcodeGhost”的澄清”一文稱，“源于我自己的實(shí)驗(yàn)，沒有任何威脅性行為”。

9月18日，烏云網(wǎng)和硅谷安全公司Palo Alto發(fā)布安全預(yù)警稱，在App Store上架的網(wǎng)易云音樂等多個(gè)應(yīng)用被注入Xcode第三方惡意代碼，會(huì)將用戶信息發(fā)送到病毒作者服務(wù)器。

Twitter用戶@fannheyward 爆料稱，受影響的除了網(wǎng)易云音樂外，還包括12306、中信銀行動(dòng)卡空間等應(yīng)用。@fannheyward 為愛微創(chuàng)想的iOS開發(fā)主管。

“所謂的’XcodeGhost’，以前是一次錯(cuò)誤的實(shí)驗(yàn)，以后只是徹底死亡的代碼而已?！蔽恼伦髡叻Q，10天前已主動(dòng)關(guān)閉服務(wù)器，并刪除所有數(shù)據(jù)，不會(huì)對任何人有任何影響。

GitHub是一個(gè)代碼托管網(wǎng)站，其形式類似博客，只是內(nèi)容為代碼。騰訊科技瀏覽發(fā)現(xiàn)，“XcodeGhostSource”為新注冊賬號，注冊時(shí)間為2015年9月19日。有業(yè)內(nèi)人士告訴騰訊科技，該作者并不希望被外界知道其身份。

文章作者解釋，“XcodeGhost”是iOS開發(fā)者的一次意外發(fā)現(xiàn)，即“修改Xcode編譯配置文本可以加載指定的代碼文件”，而文章作者寫下上述附件中的代碼進(jìn)行嘗試，并上傳到自己的網(wǎng)盤。

該代碼能夠獲取的信息包括，應(yīng)用名、應(yīng)用版本號、系統(tǒng)版本號、語言、國家名、開發(fā)者符號、app安裝時(shí)間、設(shè)備名稱、設(shè)備類型等基本App信息。

文章作者也承認(rèn)，其出于私心，在代碼加入了廣告功能，希望將來可以推廣自己的應(yīng)用。不過，從開始到最終關(guān)閉服務(wù)器，我并未使用過廣告功能。

另有業(yè)內(nèi)人還表示，這一漏洞源自美國計(jì)算機(jī)科學(xué)學(xué)者Ken Thompson30年前在編譯器內(nèi)留的后門。

9月19日，騰訊安全應(yīng)急響應(yīng)中心發(fā)布信息稱，12日，在跟進(jìn)一個(gè)bug時(shí)發(fā)現(xiàn)有App在啟動(dòng)、退出時(shí)會(huì)通過網(wǎng)絡(luò)向某個(gè)域名發(fā)送異常的加密流量。經(jīng)過一個(gè)周末加班的分析和追查，基本還原了感染方式、病毒行為、影響面。

9月13日，產(chǎn)品團(tuán)隊(duì)發(fā)布新版本的同時(shí)，知會(huì)了國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）。9月14日，CNCERT發(fā)布相關(guān)預(yù)警通報(bào)。

CNCERT在監(jiān)測中發(fā)現(xiàn)，“開發(fā)者使用非蘋果公司官方渠道的XCODE工具開發(fā)蘋果應(yīng)用程序（蘋果App）時(shí)，會(huì)向正常的蘋果App中植入惡意代碼。被植入惡意程序的蘋果APP可以在App Store正常下載并安裝使用。該惡意代碼具有信息竊取行為，并具有進(jìn)行惡意遠(yuǎn)程控制的功能。”