iOS遭遇最大危机?Xcode事件波及数十主流App数亿用户

9月18日,微信朋友圈开始流传一篇报道,一些第三方渠道下载的iOS开发工具Xcode被插入恶意代码,开发者用此工具编译的X软件都自动被装入了木马,网易云音乐被证明中招。随后的几个小时,就像多米诺骨牌,数十个iOS App被证明受此影响,其中不乏用户量巨大打开率极高的APP, 12306手机客户端、滴滴打车(已更名为滴滴出行)、中信银行行动卡空间、高德地图、网易公开课(又是网易)、中国联通手机营业厅、简书、豌豆荚开眼、51卡保险箱、同花顺等数十个APP的某些版本都曾被此开发工具感染。而在记者准备截稿时,知道创宇团队曝光微信之前的某个版本也中招……

(图:目前已知有后门的iOS App)

Xcode到底是何方神圣?

Xcode 是苹果公司提供的开发OS X和 iOS上的集成开发工具(IDE)。换句话说,如果想开发在Mac系统和iPhone手机上的应用,Xcode基本上就是不二之选。

但考虑到直接访问苹果官方站点下载Xcode太慢等原因,许多程序员为了方便,会不选择从苹果网站直接下载官方提供的Xcode,而是选择从各大论坛、网盘上找第三方资源提供的Xcode程序。正是这个“图方便”给恶意代码形成了可乘之机。

为何此事影响如此巨大?

根据i春秋学院信息安全专家李肖介绍,本次事件的始作俑者网名为“coderfun”(目前真实身份尚未查到),他在Xcode中加入了一段代码,可将一些用户的数据信息传送到了一个假冒的苹果官网(目前该网站已经关闭)。

李肖介绍,携带恶意代码的Xcode压缩包文件先是被发布到了Douban, SwiftMi, CocoaChina, OSChina等几个论坛网站,然后又在百度云出现了大量下载文件。此外,它还成功感染了迅雷的离线服务器,也就是说,如果程序员常用下载软件是迅雷的话,就算输入苹果官网的地址下载下来的 dmg 仍然有可能是被修改过的!

应该承认,这种直接把恶意代码嵌入了开发工具源头的另类传播方式让其在传播广度上获得了非常好的效果——初步估计,目前受影响的用户已经达到数亿级别。

永信至诚创始人、被称为国内白帽黑客之父的蔡晶晶在接受采访时称,这次事件足以载入移动安全的史册,其对苹果开发工具感染的技巧堪与著名的伊朗铀浓缩设备被蠕虫损坏的震网事件相提并论。震网事件由于西门子工业开发集成工具WinCC中被入侵者感染了恶意代码,使与WinCC连接的工业控制系统被间接感染,最后导致了大量伊朗核工业设备物理损坏。

用户如何规避?

应该说,本次事件在爆发后,由于上传网站服务器已经关闭,目前已经暂时不会再产生威胁。但此前已经上传的数据,已经无法挽回。目前查明上传的数据内容并不算劲爆,但Apple ID是肯定有的,因此用户需要尽快修改iCloud的密码。而且袭击者的目的并不明确,为防止未来的损失,尤其是用户如果有其他信息与之绑定,也要尽快处理,如果iCloud上传了劲爆隐私照片,保佑入侵者快被绳之于法吧。

事件的反思

此次事件让苹果系统的安全性再次遭到质疑。事实上,i春秋研究部人员早在2015年3月就已经注意到斯诺登曾经披露了一篇关于MAC OS和IOS开发套件的资料,截图如下:

上述的资料显示:NSA曾经讨论过Xcode(4.1)SDK的控制思路:利用安插在该SDK中的后门程序,加载特定的动态库文件,修改IOS系统的安全策略,实现将IOS系统下的所有APP(应用程序)的数据将传送到指定的监听端口。这些至少表明,苹果App Store的审查机制一直都有疏漏的。

但需要看到,这件事情更需要引起的反思是国内的企业程序员和开发团队。虽然问题的直接原因是程序员未能严谨地使用经过校检的Xcode 开发工具,但企业开发团队流程的疏漏、开发人员安全观念的淡薄,尤其是企业内部安全管控审核不严才是更深层次的因素。所有的开发公司和开发者都需要引以为戒,安全隐患一直潜伏待发。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/121908.html<

(0)
管理的头像管理
上一篇2025-02-22 02:38
下一篇 2025-02-22 02:40

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注