騰訊科技訊(梁辰)9月19日,一個(gè)名為“XcodeGhostSource”的帳號在GitHub發(fā)布“關(guān)于所謂”XcodeGhost”的澄清”一文稱,“源于我自己的實(shí)驗(yàn),沒有任何威脅性行為”。
9月18日,烏云網(wǎng)和硅谷安全公司Palo Alto發(fā)布安全預(yù)警稱,在App Store上架的網(wǎng)易云音樂等多個(gè)應(yīng)用被注入Xcode第三方惡意代碼,會(huì)將用戶信息發(fā)送到病毒作者服務(wù)器。
Twitter用戶@fannheyward 爆料稱,受影響的除了網(wǎng)易云音樂外,還包括12306、中信銀行動(dòng)卡空間等應(yīng)用。@fannheyward 為愛微創(chuàng)想的iOS開發(fā)主管。
“所謂的’XcodeGhost’,以前是一次錯(cuò)誤的實(shí)驗(yàn),以后只是徹底死亡的代碼而已?!蔽恼伦髡叻Q,10天前已主動(dòng)關(guān)閉服務(wù)器,并刪除所有數(shù)據(jù),不會(huì)對任何人有任何影響。
GitHub是一個(gè)代碼托管網(wǎng)站,其形式類似博客,只是內(nèi)容為代碼。騰訊科技瀏覽發(fā)現(xiàn),“XcodeGhostSource”為新注冊賬號,注冊時(shí)間為2015年9月19日。有業(yè)內(nèi)人士告訴騰訊科技,該作者并不希望被外界知道其身份。
文章作者解釋,“XcodeGhost”是iOS開發(fā)者的一次意外發(fā)現(xiàn),即“修改Xcode編譯配置文本可以加載指定的代碼文件”,而文章作者寫下上述附件中的代碼進(jìn)行嘗試,并上傳到自己的網(wǎng)盤。
該代碼能夠獲取的信息包括,應(yīng)用名、應(yīng)用版本號、系統(tǒng)版本號、語言、國家名、開發(fā)者符號、app安裝時(shí)間、設(shè)備名稱、設(shè)備類型等基本App信息。
文章作者也承認(rèn),其出于私心,在代碼加入了廣告功能,希望將來可以推廣自己的應(yīng)用。不過,從開始到最終關(guān)閉服務(wù)器,我并未使用過廣告功能。
另有業(yè)內(nèi)人還表示,這一漏洞源自美國計(jì)算機(jī)科學(xué)學(xué)者Ken Thompson30年前在編譯器內(nèi)留的后門。
9月19日,騰訊安全應(yīng)急響應(yīng)中心發(fā)布信息稱,12日,在跟進(jìn)一個(gè)bug時(shí)發(fā)現(xiàn)有App在啟動(dòng)、退出時(shí)會(huì)通過網(wǎng)絡(luò)向某個(gè)域名發(fā)送異常的加密流量。經(jīng)過一個(gè)周末加班的分析和追查,基本還原了感染方式、病毒行為、影響面。
9月13日,產(chǎn)品團(tuán)隊(duì)發(fā)布新版本的同時(shí),知會(huì)了國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)。9月14日,CNCERT發(fā)布相關(guān)預(yù)警通報(bào)。
CNCERT在監(jiān)測中發(fā)現(xiàn),“開發(fā)者使用非蘋果公司官方渠道的XCODE工具開發(fā)蘋果應(yīng)用程序(蘋果App)時(shí),會(huì)向正常的蘋果App中植入惡意代碼。被植入惡意程序的蘋果APP可以在App Store正常下載并安裝使用。該惡意代碼具有信息竊取行為,并具有進(jìn)行惡意遠(yuǎn)程控制的功能。”