危機來自第三方 Xcode 工具

國內多個廠商的大牌應用使用了第三方途徑下載的 Xcode 開發工具（非 Apple 正規途徑），用了這個“李鬼開發工具”編譯出來的 App 被注入了第三方的代碼，會向一個網站（http://init.icloud-analysis.com）上傳用戶數據，這個網站是病毒作者用來收集用戶數據的，而這個潛在了極大危害的病毒名叫 XcodeGhost。

Xcode 是運行在操作系統 Mac OS X 上的集成開發工具（IDE），由蘋果公司開發，是開發 OS X 和 iOS 應用程序的最快捷最普遍的方式。

根據安全網站 Wooyun 的披露，即使把蘋果官網上的下載 URL 復制到迅雷里下載，最終下載到的還是一個有毒的第三方 Xcode 開發工具，同理，另外從百度網盤上下載的 Xcode 編譯器也中招了，目前來看，除了從蘋果官方直接下載之外，任何第三方來源，甚至第三方下載渠道的 Xcode 工具都不能保證安全。

來自 Wooyun 的文章稱：

雖然 XCodeGhost 并沒有非常嚴重的惡意行為，但是這種病毒傳播方式在 iOS 上還是首次。也許這只是病毒作者試試水而已，可能隨后還會有更大的動作，請開發者務必要小心。這個病毒讓我想到了 UNIX 之父 Ken Thompson 的圖靈獎演講 “Reflections of Trusting Trust”。他曾經假設可以實現了一個修改的 tcc，用它編譯 su login 能產生后門，用修改的 tcc 編譯 “正版” 的 tcc 代碼也能夠產生有著同樣后門的 tcc。也就是不論 bootstrap (用 tcc 編譯 tcc) 多少次，不論如何查看源碼都無法發現后門，真是細思恐極啊。

并且，在后續的追蹤中，發現 http://init.icloud-analysis.com 這個網站的服務器已經關閉，也挖掘不到太多信息，目前也還找不到這個老道病毒作者的痕跡。

也有網友舉證說，有網名為”coderfun”的投毒者在各種 iOS 開發者論壇或者微博下留言放下載地址引誘 iOS 開發者下載有毒版本的 Xcode。并且中毒的版本不止 Xcode 6.4，還有 6.1，6.2 和 6.3 等等。

哪些應用中招了？

不廢話，直接列表：

網易云音樂

滴滴出行

12306

中國聯通手機營業廳

高德地圖

簡書

豌豆莢的開眼

網易公開課

下廚房

51 卡保險箱

同花順

中信銀行動卡空間

這是 iOS 開發者圖拉鼎自己測試的結果，上述是目前已經確定的名單，按照這個態勢，后續中招的 iOS 應用極有可能（實際上應該是一定會）繼續擴大。并且這個名單中還有很多金融股票相關的，潛在危害難以估量。

在 XcodeGhost 病毒被曝光后，被確認中招的網易云音樂馬上發布公告：

“這次感染設計信息皆為產品的系統信息，無法調取和泄露用戶的個人信息。目前感染制作者的服務器已經關閉，不會再產生任何威脅?！?/p>

但是事實真的如此嗎？

實際危害在哪里？

一開始的時候，關注此事的 iOS 開發者表示這個事情的危害并不大，在隱私問題多多的現今，這種程度的泄露算不得什么。但是！在仔細查看研究之后，這些人收回了前面的言論。

四葉新媒體聯合創始人，微博用戶 Saic 稱：

“拿文件看了一下，這個木馬劫持了所有系統的彈窗（例如 IAP 支付），然后向目標服務器發送了加密數據，目前還不知怎么解密發出去的請求。”

比方說，在中毒的應用 中進行一次 IAP（In-App Purchase，智能移動終端應用程序付費的模式）內購，比如網易云音樂中的 Taylor Swift 音樂包，此時輸入的密碼或者 Touch ID 后，就有加密數據發往目標服務器，現在不清楚加密信息是什么。因此，下載了中招應用的用戶的密碼都存在著泄露的危險。

所以，網易云音樂公告所說的“目前感染制作者的服務器已經關閉，不會再產生任何威脅”沒有錯，但是，之前已經有許多信息被發往了目標服務器了，網易等中招應用甩鍋的話，不能無視這一致命的前提。

開發者和用戶該怎么做

iOS 開發者周楷雯告訴愛范兒，作為開發者，首先檢校自己的 Xcode 開發工具是否中招，一切從第三方網站或者下載工具下載的 Xcode 都要刪除，包括通過用官方地址通過迅雷來下載的，立即使用直接從官方 App Store 下載的最新版 Xcode 也是必須要動作。iOS 開發者圖拉鼎在微博上還稱，有條件的公司應該在今天開始專門設置一臺有專人管理的 Build Server，所有發布至 App Store 的 App 只能從該臺電腦 Build 并發布，以防止未來此類事件的再現。

至于用戶，目前能做的除了祈禱自己不要泄露敏感信息之外，第一時間做的肯定還是修改各種在 iOS 設備上使用過的密碼，尤其是 iCloud 密碼，并且開啟兩步驗證，構筑密碼之