【新民网·独家报道】“苹果会中毒吗?”以往,这个问题的答案一般都是:“不越狱,不中毒”。然而,上周末,一个元凶叫做XcodeGhost的木马,却打破了这个“常识”。阿里巴巴移动安全专家、腾讯安全应急响应中心、360、猎豹等多家安全平台发出警报,包括微信、滴滴出行、12306、高德地图、网易云音乐等近百家大众常用应用都中招,初步估计受影响手机超过1亿部。目前,多家中毒应用或已升级版本或被苹果官方及时下架,看似尚未造成重大用户隐私泄漏事件。那么,这次被业内视为“2015中国移动互联网第一大案”的事件,到底是如何发生的呢?
百个不同版本应用“危险”
实际上,国家互联网应急中心9月14日已经发布“关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报”;9月17日,乌云网和硅谷安全公司PaloAlto发布安全预警提醒开发者小心,并指出XCodeGhost虽然没有非常严重的恶意行为,但是这种病毒传播方式在iOS上还是首次。9月18日,“XCodeGhost”事件通过社交网络引发讨论,让不少“果粉”开始恐慌。据盘古团队紧急开发的一款Xcode病毒检测工具发现,截至目前检测出有问题的不同版本应用超过800个。
已知有哪些常用APP这次“中招”?从不同安全平台的信息来源统计,赫然在列的包括:微信(版本6.2.5)、网易云音乐(版本2.8.3)、滴滴出行(版本4.0.06)、12306(版本2.12)、中国联通手机营业厅(版本3.2)、高德地图(版本7.3.8)、同花顺(版本9.26.03)、喜马拉雅(版本4.3.8)、愤怒的小鸟2(版本2.1.1)、天涯社区(版本5.1.0)、中信银行动卡空间等(版本3.3.12)……
“程序猿”不规范操作中枪
理论上“固若金汤”的iOS系统,这次为何会如此大面积“受灾”?其实,Xcode是由苹果公司开发的运行在操作系统MacOSX上的集成开发工具(IDE),是目前开发MacOS和iOS应用程序的最快捷最普遍的方式。理论上苹果系统还是比安卓系统要安全的多,但据多方分析报告称,此次问题关键不是出在苹果的官方系统出了漏洞,而是有些“程序猿”使用了非官方的第三方Xcode编译器,殊不知经由这些编译器编写的APP存在安全问题——当它们上传到AppStore被用户下载安装后,就会偷偷上传软件包名、应用名、系统版本、语言、国家等基本信息。
昨天,已有自称是XcodeGhost作者的致歉。该作者“所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现”,并强调“在代码中获取的全部数据实际为基本的app信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型。除此之外,没有获取任何其他数据……且已于10天前主动关闭服务器,并删除了所有数据。”
3版本更新升级后能“祛毒”
安全专家指出,无论是使用黑苹果(非苹果机上安装的破解版OSX系统)开发,还是使用第三方下载的Xcode,都属于不规范的开发流程。虽然XcodeGhost相关域名已经不可访问,XcodeGhost的始作俑者承诺也不会再利用其干坏事,但这并不代表其他人不会。因为从病毒样本的分析看,这些泄露信息虽然并不涉及太多的隐私问题,但却它们在iPhone/iPad上弹出钓鱼网站页面,也可能骗取iCloud账号密码,或者其他关键信息。
据悉,目前有多名开发者透露,他们在应用被感染24小时内已经收到了来自苹果的下架通知。同时,苹果还说明了重新上架的条件:首先开发者需要通过官方渠道下架XcodeGhost感染的软件,然后再对软件进行重新编译,最后是提交软件等待审核。而据记者比照发现,截至发稿时,微信、网易云音乐、高德等均已率先进行了版本修复。这说明,苹果在此次危机的处理上还算及时有力。但对于开发者或用户而言却敲了警钟——下载不明来源的软件和固件终究还是危险的。
新民晚报记者 胡晓晶
>>>友情提醒
1.基于安全的考虑,最好对涉及到的密码、支付方式等进行修改。
2.为确保安全,用户也可以选择暂时卸载那些受影响软件。保险起见,修改AppleID密码,iCloud账户密码。
3.对于中招软件,稳妥起见暂时不要打开,静待更新,比如目前微信、网易云音乐、高德等均已率先进行了版本修复,用户升级到新版即可。
4.再次建议iPhone/iPad用户不要越狱,只从官方市场下载软件。当有人试图套取你的iCloud账户密码或者其他重要账户密码、手机验证码时,必须谨慎对待。
新民晚报官方微信
微信号:xmwb1929
有用、有益、有趣
侬好上海由新民网出品
微信号:helloshanghai2013
吃喝玩乐、上海故事、同城活动
每天热爱上海多一点
加入小侬家族就对啦!
街谈巷议微信
微信号:xinminwangshi
街头访谈,麻辣点评
版权声明:
• 在本网站刊登的所有内容,包括但不限于文字、图片、音频视频、美术设计、程序及多媒体等信息,未经著作权人合法书面授权,不得进行一切形式的下载、转载或建立镜像。获得著作权人合法书面授权的,必须在授权范围内使用,使用时保留本网注明的"稿件来源",并自负法律责任。凡注明为其他媒体来源,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如果擅自篡改为"稿件来源:新民网",本网将依法追究责任。
• 您若对稿件处理有任何疑问或质疑,请即与新民网联系,本网将迅速给您回应并做处理。
电话:021-52921234转604208 新民网 传真:021-62677454
邮箱:稿件处理 处理时间:9:00—18:00
[展开/收起]
抓好关键补好短板 上海重拳整治环境 |
天津滨海新区危险品仓库爆炸 |
中国人民抗日战争暨世界反法西斯战争胜利 70周年 |
电梯又出事!上海长宁龙之梦一男子小腿被夹已截肢 |
北京成功获得2022年冬奥会举办权 |
沪地铁1号线早高峰故障数小时 多站客流积压 |
上海市新闻道德委员会社会监督投诉电话、来信来访地址及电子信箱:
1. 投诉专线电话:021-64023633
2. 社会监督来信地址:上海市闵行区都市路4855号2号楼 邮编:201199
3. 来访接待:
上海市闵行区都市路4855号2号楼
上海市新闻道德委员会举报中心
4. 投诉电子信箱:shsxwddwyh@163.com
上海市新闻道德委员会通过社会监督电话、来信来访接待、电子邮件等多种方式,受理社会各界对新闻机构及新闻从业人员新闻职业道德失范行为的举报和投诉,对违反职业道德的行为进行监督。
受理时间接待时间为:
工作日上午9:30--11:00;下午1:30--4:00
增值电信业务经营许可证(ICP):沪B2-20110022号 | 互联网新闻信息服务许可证:3112009001 | 信息网络传播视听节目许可证:0909381
广电节目制作经营许可证:(沪)字第536号 | 违法与不良信息举报电话15900430043 | 网络敲诈和有偿删帖
新民晚报官方网站 xinmin.cn ©2013 All rights reserved.