對于蘋果Xcode事件，很多用戶都會有一系列的疑惑，如為何帶有Xcodeghost病毒的Xcode會被廣泛流傳并進入開發(fā)者手中？哪些信息遭受了泄露？存在哪些危害？應該如何避免損失？對于用戶的種種疑問，記者邀請了永信至誠CTO張凱為我們解答。同時張凱分析，泄露的龐大信息可能會流向黑客產業(yè)鏈中。

蘋果的安全是以其系統(tǒng)的封閉性來保證的，所有用戶下載的APP都會經開發(fā)者上傳到APP Store進行審查和發(fā)放。但是Xcode Ghost病毒感染的是開發(fā)者的開發(fā)工具，并且對自己的行為做了偽裝，導致蘋果的審查機制以為這個病毒的要求是開發(fā)者的要求而予以放行。由于蘋果的監(jiān)控僅限于對提交的APP進行安全審核，但是不能監(jiān)控后續(xù)該病毒與病毒作者的服務器的溝通。這也從一個側面暴露出蘋果的審查機制有漏洞，才會讓病毒作者有機可乘。

Xcode Ghost能如此大范圍傳播，主要是和Xcode Ghost的傳播思路有關系。傳播者將被感染的Xcode開發(fā)工具上傳到云和離線服務器、bbs等公共下載平臺，因為在國內從蘋果官網下載軟件（Xcode開發(fā)工具）速度比較慢，所以很多人因為偷懶就在第三方渠道下載，加上傳播者故意的誘導，從而引發(fā)如此大范圍的傳播。

由于Xcode Ghost自身隱藏的比較好，而且一直沒有做惡，只是偽裝成正常APP的請求在默默地往指定服務器傳送用戶數據，因此一直都沒有被發(fā)現(xiàn)，但是尚不知具體從什么時候流入到APP Store，也就是說不知道Xcode Ghost運行了多久。

烏云知識庫作者蒸米對注入的病毒樣本“Xcode Ghost”進行了分析，該病毒會收集應用和系統(tǒng)的基本信息，包括時間、 bundle id （包名）、應用名稱、系統(tǒng)版本、語言、國家等，并上傳到 init.icloud-analysis.com （該域名為病毒作者申請，用于收集數據信息），雖然這些信息不算敏感信息，但是不排除這些龐大的信息會流向黑客產業(yè)中的可能性。

目前我們分析出了三個潛在威脅。第一，通過DNS劫持來被壞人通過路由器偽造服務器地址，讓用戶信息繼續(xù)泄露，同時，還可以通過漏洞給用戶強制安裝APP并偽造短信等；第二，病毒作者的傳播思路很可能會被人學習，為未來更多惡性病毒傳播提供了經驗；第三，病毒原作者可能還做了基于Android開發(fā)平臺病毒，和Xcode Ghost類似。所以Android手機用戶也可能已經感染了病毒，而且目前沒有流行的查殺辦法，最好盡快升級最新版APP。

目前據不完全統(tǒng)計，有4400多個應用版本（含一個APP的多個版本）中毒，數字還在增加中，不過這個數字不是蘋果官方公布的，而是安全公司通過技術手段掃描和搜集的。

對于iOS用戶來講，目前最有效的檢測中毒應用的手段是下載盤古團隊開發(fā)的Xcode病毒檢測工具。對于開發(fā)者和開發(fā)公司來講，最有效的檢測方法是下載啟明星辰的檢測工具，或者把APP包上傳到啟明星辰VirusBook.cn進行檢測。如果不考慮換手機的話；第一，需要盡快修改icloud密碼；第二，使用盤古的查殺工具來自檢；第三，及時從APP Store更新官方最新應用。

黑色產業(yè)知識鏈接：

黑客可以通過將病毒預置在APP中，竊取手機中我們的個人隱私信息，甚至發(fā)送詐騙短信、篡改我們的用戶數據等等。黑客這么做的目的無非是為了獲利，在黑色產業(yè)中，大量的用戶信息是可以明碼標價進行售賣的，而上億的用戶信息，其價值無法估量，甚至不排除可以利用這些信息達成一些政治目的的可能性。