原文: http://www.bnext.com.tw/article/view/id/37438
许多台湾人因为经商频繁或朋友往来中国之故,
在手机上安装许多中国的手机应用程式或服务。
除了 Android 平台手机品牌小米、华为等,
通常许多台商最信赖的就是 Apple 的 iOS 装置,
如 iPhone 或 iPad 等。这样的信赖是建立在 AppStore 审查的应用程式,
通常保证了一定的稳定性与安全性。但在本周,这种信赖恐怕将产生了变化。
知名的开放资讯安全中文漏洞报告平台 Wooyun 在 9 月 17 日披露了部分
iOS Apps 可能存在安全性问题,这些 Apps 会在使用时自动向特定网站上传资讯。
这些 Apps 都是以受到第三方原始码污染的 Apple 开发工具 Xcode 所编译,
因此编译完成的 Apps 的包装里带有(通常称做被注入木马)第三方放入的特定资讯。
进而产生上述的安全问题。
图说明
这个问题可能主要源自于中国境内目前的“实体网络管制”。
虽然 Apple 的开发工具 Xcode 是几近免费提供给所有的开发者,
其要求 Apple 的开发者需要具备可以运作 Mac OSX 的电脑
(也就是 Apple 的 PC 或 Notebook),如果要公开发布 Apps,
则需负担每年约 3000 元新台币的开发者帐号,
但因许多中国开发者在连往位于美国的 Apple 服务器下载 Xcode 时,
会受到中国目前实体网络存在有俗称为网络长城的过滤机制干扰,
导致下载速度十分缓慢,甚至容易断线。
这些开发者可能就会选择其他开发者事前已经下载完毕,
并储存在中国境内流行的云储存服务,例如百度云的网络空间上。
这些转向下载的行为让木马开发者有了动手脚的空间,
将经过第三方原始码污染的 Xcode 放在百度云上,
再透过中文的开发者论坛或微博的传散,将有问题的开发者工具
Xcodeghost 散布给中国众多的 Apple 开发者,按照 Wooyun 知识库所称,
这可能是在许多中文 iOS 论坛与微博中,网名 codefun 的个人或团体所为。
图说明
(图说:这次的XcodeGhost事件,主要可能因为中国网络长城的管制造成开发者误用了非官方的污染开发套件)
开发者使用 XcodeGhost 进行开发并编译 apps 时,apps 会自动包含一段程式码,取得 iPhone 或 Apps 的一些基本资料,包含时间、Apps名称、Apps的bundle ID(Apps程式包ID)、Apps名称、作业系统版本、手机型号、手机版本别、系统语言、国家等,并将上述这些字段资料上传至 init.icloud-analysis.com,这是放毒者所注册用于蒐集上述资料的网址,目前该站与服务器已经关闭,并且很难查出相关的注册资讯。
这些蒐集资讯的行为对于 Apps 开发商来说是很正常的过程,因此 Apple 的 Appstore 在隐私权保护的范围内并不会太过关心这样的程式码,也因此受到污染的 Xcodeghost 可以横行一段时间。
为了避免在网络上下载相关的应用程式有被污染之嫌,一种常见的作法,是透过特定的算法对下载完成的档案演算出特定独一无二的号码,与网站所公布的进行校验比对。但这样仍有可能无法防止假冒或恶意散布被污染过的程式横行。
本次已经知道受到 XcodeGhost 所影响的 iOS 平台应用程式,主要包含台湾人常用的微信、名片全能王、滴滴出行(原滴滴打车,本月份升级改名)、12306(中国铁道部票务应用程式)、扫描全能王(CamScanner)、微博相机、豆瓣阅读、高德地图、中国联通手机营业厅、中信银行动卡空间(大陆中信银行客户之行动银行专用应用程式)等等。
微信团队在其官方微博上面做出的公开声明表示:“目前确认Xcodeghost所影响的问题存在于微信 iOS 6.2.5,建议使用者可以尽快透过升级微信应用程式修复。目前没有发现这个问题造成用户的直接影响,包含资讯或财产的直接损失,但微信团队仍会持续关注和监测。”
图说明
滴滴出行也在其官方微博发表声明,表示团队在第一时间得知就已经处理这个发生于 4.0 版本“滴滴出行”的问题:“已经在 9月 19日更新为 4.1.0 版,大家可以更新新版和放心使用。感染源的服务器已经被关闭,不会再产生任何威胁”
根据资安厂商 Polo Alto Network 的整理,透过不同的网站报导或资讯安全公司测试,以下的 iOS 应用程式(不计游戏类)已经确认受到污染,污染范围可能会随着测试增加逐渐扩大。
目前较确定的名单有:
Mercury
WinZip
Musical.ly
PDFReader
guaji_gangtai en
Perfect365
网易云音?
PDFReader Free
WhiteTile
IHexin
WinZip Standard
MoreLikers2
CamScanner Lite
MobileTicket
iVMS-4500
OPlayer Lite
QYER
golfsense
同花?
ting
installer
下?房
golfsensehd
Wallpapers10000
CSMBP-AppStore
?包助手
MSL108
ChinaUnicom3.x
TinyDeal.com
snapgrab copy
iOBD2
PocketScanner
CuteCUT
AmHexinForPad
SuperJewelsQuest2
air2
InstaFollower
CamScanner Pro
baba
WeLoop
DataMonitor
?推
MSL070
nice dev
immtdchs
OPlayer
FlappyCircle
高德地?
BiaoQingBao
SaveSnap
WeChat
Guitar Master
jin
WinZip Sector
Quick Save
CamCard
具称是 XcodeGhost 的原始作者在微博上澄清表示,
这个 XcodeGhost 其实是他自己的资讯安全技术实验,
他发现修改 Xcode 编译设定脚本可以加上使用者自己指定的程式档案,
所以他写下了这个程式测试,并上传到自己的网络空间上。
他表示,除了上述的基本应用程式资讯外,他另外在程式里加入了网络广告的功能,
希望将来可以推广自己的应用程式,但他实际上并未使用过广告功能,
且已经删除所有数据,希望不会对任何人有任何影响。
随后,作者并将其本次实验所有的程式码公布在 Github 上。
《数位时代》建议读者,可以将你手中常用的 iOS 中国市场应用程式
整理成几个专用的资料夹,时常透过更新注意这些应用程式背后的团队,
是否已经快速针对这个问题进行处置。
这个事件也通常提醒许多大型软件与服用应用开发商,应该成立专责的团队,
针对开发与部属环境进行严苛的控管、测试与整理。