XcodeGhost

通過Xcode從源頭注入病毒Xcode Ghost，是一種針對蘋果套用開發工具Xcode的病毒。於2015年9月被發現。它的初始傳播途徑主要是通過非官方下載的 Xcode 傳播，通過 CoreService 庫檔案進行感染。當套用開發者使用帶毒的Xcode工作時，編譯出的App 都將被注入病毒代碼，從而產生眾多帶毒APP。

雖然Xcode官方下載渠道是在Mac App Store 里下載。但很多使用Mac筆記本的網友了解，Mac App Store 總是很難打開，導致有些著急程式設計師為了方便，直接使用國內的下載工具下載，因而也就下載到了帶有XcodeGhost 病毒的Xcode。使用這類“帶毒Xcode”製作、維護的套用則會跟著感染病毒。

蘋果的套用商店AppStore無法檢測出病毒，因為商店審核只能確定App調用了哪些系統API。於是帶毒套用順利進入蘋果官方商店。而廣大用戶則通過蘋果官方商店下載到了病毒套用。

用戶在iOS設備上安裝了被感染的APP後，設備在接入網際網路時APP會回連惡意URL地址init.icloud-analysis.com，並向該URL上傳敏感信息(如設備型號、iOS 版本)。回連的C&C伺服器會根據獲取到的設備信息下發控制指令，從而完全控制設備，可以在受控設備上執行打開網頁、傳送簡訊、撥打電話、打開設備上所安裝的其他APP等操作。由於蘋果套用商店是個相對封閉的生態系統，用戶一般都會充分信任從套用商店下載的APP，因此此次事件的影響面和危害程度前所未有，有可能是蘋果有史以來所面臨的最嚴重的安全危機。

Xcode官方下載渠道是在Mac App Store 里下載，很多使用Mac筆記本的網友了解，Mac App Store 總是很難打開的樣子。因此有些著急程式設計師為了方便，直接使用了國內的下載工具下載，因而也就下載到了帶有XcodeGhost 病毒的Xcode。

2015年9月12日，騰訊安全回響中心在跟進一個bug時發現有APP存在異常行為，開始檢測。發現異常流量APP都是大公司的知名產品，也是都是從AppStore下載並具有官方的數字簽名。

13日，騰訊知會中國國家網際網路應急中心CNCERT。

14日，CNCERT發布預警，指出開發者使用非蘋果公司官方渠道的Xcode工具開發蘋果應用程式（蘋果APP）時，會向正常的蘋果APP中植入惡意代碼。被植入惡意程式的蘋果APP可以在App Store正常下載並安裝使用。該惡意代碼具有信息竊取行為，並具有進行惡意遠程控制的功能。但當時該預警並沒有廣泛引起人們注意。

16日，騰訊安全回響中心稱：「發現 App Store上的 TOP5000 套用有 76 款被感染，於是我們向蘋果官方及大部分受影響的廠商同步了這一情況。」

17日，阿里移動安全發布分析報告，烏雲網發布分析報告，紛紛指出Xcode編譯器內有鬼。XcodeGhost事件在網上升溫發酵，引爆中國iOS生態鏈的眾多開發者。

18日，第一批受感染的APP陸續被曝光，當晚微博曝光第二份受感染APP名單。眾多著名的公司官方套用，包括銀行相關APP名列其中。

19日凌晨，自稱XcodeGhost作者的人在微博發聲明，稱只是個人偶然發現並實行的實驗項目，無威脅行為，並已在“十日前”關閉伺服器刪除數據。對此自辨，有業內人員表示可笑，算帳要達到這次事件龐大的數據收集，所需伺服器租用費每月就起碼50萬美元，絕不可能是“苦逼iOS開發者個人一時興起的實驗”。

19日上午，蘋果公司開始下架受感染的APP。

20日中午，CCTV新聞頻道的《新聞直播間》節目用長達8分鐘的視頻報導了XcodeGhost病毒事件，儘管疑似XcodeGhost的作者在網上聲稱只是“個人的”、“無害的”、“興趣實驗”，但央視採訪的一位技術專家稱作者蓄謀已久，半年前就已開始收集蘋果用戶的信息。傳聞已感染病毒的App已超過800款。

22日凌晨，病毒被證實還涉及其它平台與開發工具。百度安全實驗室稱發現Unity-4.X被感染的樣本，只是上線域名變更。盤古團隊宣布有證據證明一些遊戲引擎的下載地址也被感染病毒，例如Unity 和cocos2dx, 並且這些引擎的安卓版也被感染病毒，相同的手段，相同的黑產團隊。至此，安卓平台手機也難逃一劫。當晚人們還發現病毒製造者也曾發布過可疑Unity資源，並在Unity感染曝光後迅速刪除了當初的發布貼，抹殺證據。

該病毒波及眾多產品，其中不乏大公司的知名套用，也有不少金融類套用，還有諸多民生類套用，保守估計影響人數就超過一億。

雖然從病毒樣本的分析看，泄露信息並沒涉及“太多”的隱私問題，但值得注意的是，病毒擁有更多的許可權。比如它們在iPhone/iPad上彈出釣魚網站頁面，可能騙取iCloud帳號密碼，或者其他關鍵信息，由於至今用戶於“蘋果官方市場”的絕對信任，這種詐欺極易成功。病毒甚至還可以操作具備偽協定能力的大量第三方App，其惡性後果難以估量。

事件意味著蘋果引以自豪的“封閉安全的AppStore”一樣可能傳播病毒。“蘋果官方市場=安全市場”的神話已經破滅。

雖然疑似XcodeGhost的作者"codeFun"公開聲稱自己“無惡意”、“偶然”、“實驗而已”，令渴望安全感的用戶們有了自我安慰的藉口，但很快被發現自己想得太美好了。

1、業界對其行為的追蹤發現，在半年之前，就有人開始在大量的iOS開發論壇上散布Xcode的下載連結，甚至還有人入侵了某論壇版主的ID來修改下載連結，而這些下載連結全部指向了同一份網盤檔案，如此大規模的甚至非法擴散的舉動，“個人”、“做實驗”的說法根本解釋不通。

2、有網路工程師在微博上算了一筆賬，這種對用戶信息的收集，僅僅是使用海外伺服器的成本每月就要四五十萬美元。“這會只是一個苦×開發者的個人實驗？”

3、業內分析認為，進行這種黑客行為對製造者的技術水平要求很高，絕非一般人能夠所為，而且從其一系列行為來看，不大可能是一個人做出來的，應該是有一個團隊在操盤，背後很可能是和黑產產業鏈有關係。

4、烏雲知識庫有人查到病毒作者codeFun在7月就曾發布過可疑Unity資源，並且在9月22日凌晨Unity也被感染的訊息曝光後數小時內，迅速刪除了7月發布的資源貼。可見Unity的感染也有此人（團隊）手腳，而且曾故意且主動地散布過病毒。他（們）在19日的道歉文中甚至依然隱瞞著在Unity中的下毒行為。

發現他曾散布Unity可疑資源的網友驚呼：“他（們）竟然也一直沒睡，大半夜裡一直在看大家發微博觀察動靜？隨後發現大家知道了Unity也中毒的事情，趕緊去把自己曾經投毒的帖子刪了？”

在蘋果手機平台上，雖然XcodeGhost曝露的伺服器關閉了，但是受感染的App的行為還在，這些App依然孜孜不倦的向伺服器傳送著請求。這時候黑客只要使用DNS劫持或者污染技術，偽裝相關伺服器，就可以成功的控制這些受感染的App。

在安卓手機平台上，unity 4.6.4 – unity 5.1.1的開發工具都有可能被投毒。也就是說,除了iOS,安卓系統甚至是WP用戶也都面臨著同樣的安全問題。而這只是被發現感染的一種開發工具，其它開發工具也籠罩在投毒的陰影中。

蘋果官方可能不會承擔任何責任，也不會有賠付。中國網際網路協會研究中心秘書長鬍鋼則向南都記者介紹：“從法律來說，目前所有軟硬體公司都會在協定中註明，如若發生潛在威脅，盡了通知的義務並及時採取補救措施，基本可不承擔責任。”

雖然對比此前微軟針對“衝擊波”病毒事件，蘋果方也許會有一部分的責任，同時也有義務對APP Store里的套用進行整合，包括設定Xcode在中國的伺服器。但法律人士分析認為：“大多數軟硬體公司，都會有協定表示，對潛在的、即發的意外情況，不承擔任何責任。”

因此這場事故最可能的結局是蘋果官方“冷處理”，隨時間推移事件逐漸淡出人們視線。

對於iOS用戶來說，首先不必太過慌張。XcodeGhost 病毒目前會上傳產品自身的部分基本信息(安裝時間，套用ID，套用名稱，系統版本，語言，國家)等，不會涉及到個人信息。另外，感染製作者的伺服器已關閉，已經不構成實質上的信息泄露。

需要警醒的是，之前已經有部分用戶信息被發往了目標伺服器，截至目前蘋果官方並沒有站出來給出解決方案，XcodeGhost病毒的“真兇”也沒有抓到。對於普通用戶來說，仍然需要多加小心。

XcodeGhost 病毒可以在未越獄的 iPhone 上偽造彈窗進行釣魚攻擊，其生成的對話視窗仿真度非常高，很難辨別，因此用戶如果在之前輸入過iTunes密碼，那么一定要儘快進行修改。

手機中安裝了受到影響的App的用戶，如果是常用的套用，就暫停使用，等開發者發布新的版本更新後再使用；如果是不常用的套用，可以直接卸載。目前沒有看到造成損失的案例，確實存在泄露個人關鍵信息的風險，還是建議用戶修改一下手機中的重要密碼。無論有沒有安全事件，定期修改密碼都是一個良好的習慣。

2015年9月19日，自稱XcodeGhost作者致歉。今日早間，有部分微博網友貼出了一個自稱是XcodeGhost作者的致歉，聲稱是個“苦X程式設計師的”、“無害的”、“實驗”，同時承認自己出於私心，在代碼里加入了廣告功能，並說自己在10天前，已主動關閉伺服器，並刪除所有數據。

這一聲明未得到任何官方的驗證，未表明此人就是XcodeGhost作者，更未證實作者是個人而非團隊。

這輕描淡寫的致歉被指出毫不可信。事後業界也大量發現了製作者蓄謀已久、惡意擴散的證據。尤其是幕後伺服器資金每月高達幾十萬美元，絕不是一個人能承擔的，更不可能是“一時興起作個實險”。

360團隊對其行為的追蹤發現，在半年之前，就有人開始在大量的iOS開發論壇上散布Xcode的下載連結，還有人入侵了某論壇版主的ID來修改下載連結，這些下載連結全部指向了同一份網盤檔案，如此大規模的舉動，做實驗的說法根本解釋不通。有網路工程師在微博上算了一筆賬，這種對用戶信息的收集，僅僅是使用海外伺服器的成本每月就要四五十萬美元。“這僅僅是個苦×開發者的個人實驗？”

進行這種黑客行為對製造者的技術水平要求很高，絕非一般人能夠所為，從其一系列行為來看，不大可能是一個人做出來的，應該是有一個團隊在操盤，背後很可能是和黑產產業鏈有關係。

360公司表示，目前已經通過技術手段基本鎖定了病毒製造者的身份，並且已經報警，正在配合警方進行調查。不過360相關人士表示，在警方結案前還不能公布關於病毒製造者身份的更多細節。在多個渠道獲得的信息來看，病毒製造者並非一個人，其中一名主要成員曾是國內某名校的保送研究生，不過已經退學。

這件事給程式設計師敲響了警鐘：要安全，首先得保證自己的開發工具安全。程式設計師被黑客暗算的事曾經多次發生，無論如何，建議使用正版、未被非法篡改過的開發工具編寫程式，避免用戶成為受害者；其次，編譯環境、發布環境的安全值得注意，編譯伺服器和自動發布伺服器，應保持乾淨的環境，不要隨意安裝來源不明的可疑軟體。

安全行業業內人士表示，這一次的事件給蘋果在安全機制上敲響了警鐘，讓蘋果注意到自身安全機制存在的漏洞，相信蘋果會修補這次安全事件造成的影響，在安全審查上變得更加嚴格。