陳文

平地驚雷，病毒事件持續(xù)發(fā)酵

9月17日上午，《猿題庫》iOS開發(fā)工程師唐巧發(fā)了一條微博，公布了他自己組建的iOS技術(shù)群里關(guān)于Xcode漏洞的討論結(jié)果，并附上了軟件是否包含Xcode惡意代碼的檢驗方式。由于唐巧在iOS圈內(nèi)的影響力，他的微博迅速被阿里移動安全資深工程師蒸米關(guān)注。9月17日下午1點，蒸米拿到了病毒樣本，并開始進行初步分析，在和同事討論后，他們決定給這個樣本起名為“XcodeGhost”，并于當天下午5點寫成了業(yè)界第一篇分析報告《XCode編譯器里有鬼— XCodeGhost樣本分析》發(fā)表在烏云網(wǎng)上。

烏云網(wǎng)是位于廠商和安全研究者之間的漏洞報告平臺。經(jīng)過烏云網(wǎng)的曝光，這件原本只在互聯(lián)網(wǎng)安全圈子里的事件發(fā)酵開來，后有媒體開始介入報道，甚至有部分用戶開始產(chǎn)生恐慌情緒。在隨后的兩天內(nèi)，這個影響上億用戶的互聯(lián)網(wǎng)安全大事件，讓無數(shù)程序員在剛剛過去的這個周末加班熬夜打補丁。據(jù)不完全統(tǒng)計，有數(shù)百個APP牽涉其中，并且不乏《微信》、《網(wǎng)易云音樂》、《高德地圖》和《同花順》等知名APP。

一個漏洞為什么會攪起這么大的風(fēng)波？有個形象的比喻是—“炒菜的鍋都不干凈，還能指望端上桌的菜沒有問題嗎？”簡單來說，Xcode是iOS系統(tǒng)下程序員最常用的開發(fā)工具，由蘋果官方提供給開發(fā)者，它幾乎是生成iOS應(yīng)用的唯一工具。遺憾的是，蘋果官方的下載源因為眾所周知的原因下載極慢，再加上國內(nèi)“碼農(nóng)”養(yǎng)成用百度搜索來下載各類應(yīng)用工具的習(xí)慣，從而導(dǎo)致了XcodeGhost病毒的廣泛傳播。

9月18日，美國硅谷的palo alto networks安全公司也分析完了XcodeGhost樣本，并發(fā)表了分析報告，提到《網(wǎng)易云音樂》等多家APP被感染。隨后，一直沉默的蘋果終于給出了回應(yīng)，聲稱這次安全事件是黑客誘騙應(yīng)用開發(fā)者使用了修改過的蘋果應(yīng)用開發(fā)工具Xcode，從而將惡意代碼注入至這些應(yīng)用。不過，蘋果并沒有透露，iOS用戶采取哪種方式，來判斷自己設(shè)備中有哪些應(yīng)用是被感染的。在開發(fā)者們忙著遞交APP修補版本時，蘋果也改掉了往日慢悠悠的性子，加快了審核速度。很快，《網(wǎng)易云音樂》、《滴滴出行》和《微信》等APP都發(fā)布了漏洞修補版本。

在所有人忙得焦頭爛額的時候，病毒的始作俑者也自己站了出來。9月19日，一個名為“XcodeGhost-Auther”的新注冊微博號自稱為病毒的作者，并發(fā)文澄清，“所謂的XcodeGhost只是苦逼iOS開發(fā)者的一次意外發(fā)現(xiàn)”，“出于私心，我在代碼中加入了廣告功能”。這些說法遭到了業(yè)內(nèi)不少人的質(zhì)疑，還有一些人認為，“雖然病毒作者聲稱并沒有進行任何廣告或者欺詐行為，但不代表別人不會代替病毒作者進行這些惡意行為。”

多人躺槍，推諉扯皮好不熱鬧

事實上，在編譯器上裝病毒的手法并不稀奇，它的學(xué)名叫做“源碼病毒”，病毒代碼附著在編譯器中。早在1984年，Ken Thompson就曾在圖靈獎演講中提到過，如何在UNIX gcc編譯器中動手腳的惡作劇。如今，當年的惡作劇已經(jīng)變成了現(xiàn)實。只不過，病毒雖然不稀奇，但卷入事件中的各家公司的表現(xiàn)卻耐人尋味。

事件發(fā)生后，國內(nèi)多家公司都做出了回應(yīng)?！毒W(wǎng)易云音樂》在微博發(fā)公告稱，自家的iOS應(yīng)用確實受XcodeGhost感染病毒的影響，iPhone端部分應(yīng)用會上傳產(chǎn)品自身的部分基本信息（安裝時間、應(yīng)用ID、應(yīng)用名稱、系統(tǒng)版本、語言和國家），均為產(chǎn)品的系統(tǒng)信息，無法調(diào)取和泄露用戶的個人信息，由于目前感染源制作者的服務(wù)器已經(jīng)關(guān)閉，因此不會再產(chǎn)生威脅。

除了《網(wǎng)易云音樂》，《滴滴出行》也在官方微博進行了回應(yīng)?！兜蔚纬鲂小仿暦Q“關(guān)于XcodeGhost的問題，4.0版本可能會上傳產(chǎn)品部分基本信息，但不會涉及到用戶隱私。并且，感染源的服務(wù)器已被關(guān)閉，不會再產(chǎn)生任何威脅。《滴滴出行》第一時間處理了這個問題，并已更新版本，請大家放心使用?！币环矫娉姓J自己家APP會上傳部分基本信息，一方面特意強調(diào)不會涉及用戶隱私。而這邊忙著發(fā)微博安撫用戶，那邊騰訊則開始揭秘整個事件。9月19日，騰訊安全應(yīng)急響應(yīng)中心發(fā)布了長文，以專業(yè)的角度對XcodeGhost事件進行還原和分析。值得注意的是，騰訊安全對自家產(chǎn)品—《微信》iOS版的漏洞只字未提。

與上述幾位相比，百度和迅雷就有些“躺槍”的意味了。事件發(fā)生后，有網(wǎng)友猜測這次XcodeGhost病毒的泛濫有可能和迅雷有關(guān)。19日凌晨，迅雷發(fā)布公告澄清，稱官方鏈接的Xcode經(jīng)迅雷下載不會被植入惡意代碼。而根據(jù)其查詢離線下載的任務(wù)記錄，染毒的Xcode6.4版本最早被迅雷會員用戶添加到離線下載中時，并非來自蘋果官方，而是來自有關(guān)網(wǎng)盤的URL。

迅雷所說的“有關(guān)網(wǎng)盤”，毫無疑問指的就是百度網(wǎng)盤。對此，百度方面也在9月21日作出了回應(yīng)，表示百度在事件發(fā)生后立即啟動了最高安全緊急響應(yīng)流程，清查并關(guān)閉云盤上所有感染文件共享。百度方面還強調(diào)，污染包括下載工具、運營商下載通道等在內(nèi)的下載途徑，已經(jīng)成為地下黑色產(chǎn)業(yè)鏈牟利的重要方法，這也大大增加惡意軟件的影響范圍。相關(guān)企業(yè)應(yīng)該徹查安全隱患，排除脆弱點，對自身的安全體系和安全管理進行完善。顯然，百度所說的“相關(guān)企業(yè)”，必然包括迅雷在內(nèi)。

小編觀點

目前來看，XcodeGhost尚未被證實給用戶帶來什么具體損失，分析顯示，XcodeGhost代碼完全具備隨時進行惡意行為的能力，不過到目前為止，尚無證據(jù)證實XcodeGhost被用于除收集信息以外的惡意行為。但起碼說明，蘋果一向被認為安全性很高的金身已經(jīng)告破。此次事件的最大影響是，它動搖了人們對于蘋果安全的信心。有鑒于此，蘋果在事件之后需要做的還有很多，如加強對APP的審核機制，增加Xcode下載服務(wù)器等。另外，國內(nèi)眾多卷入事件的公司也不應(yīng)一味推卸責任，積極地直面問題才是應(yīng)有之道。