美国苹果公司旗下的iOS App Store首次遭到大规模攻击,多个合法软件开发商,误用被黑客植入恶意程式的Xcode开发工具,写出有问题的应用程式(App)。估计超过300个Apps受感染,包括在中国甚至全球广受华人欢迎的微信App,影响数以亿计iPhone和iPad用户,其个人资料有外泄风险。
黑客植入恶意程式被称为XcodeGhost,大部分中招的Apps受中国用户青睐,包括叫车程式滴滴出行、网易音乐、微博相机、豆瓣阅读等,另有部分受感染的是在中国境外也广泛使用的程式,如广受全球华人喜爱的聊天程式微信。据中国报纸报道,南京银行、南方航空、中国联通等官方App也中招。
滴滴打车、网易和腾讯等分别发出声明,证实中毒。部分公司已提供修正更新。腾讯表示,微信仅iOS 6.2.5受影响,但6.2.6以后的版本没有问题。这是首次发生大量有问题Apps进入苹果应用商店的案例。研究人员说,恶意程式在Apps的主要行为,是收集苹果装置中的讯息数据。
有关恶意程式会令App自动上传用户讯息,包括App的名称、版本、语言、安装时间、iOS版本、装置编号和类型等,能读取和编辑使用者的剪贴簿,或是开启特定的网页,并有可能弹出以假乱真的警告讯息,骗用户输入iCloud密码。
苹果称问题App已下架
阿里巴巴移动安全团队,最先在上周发现此恶意程式,并发表多篇文章详细记录。美国网络安全公司Palo Alto Networks表示,恶意程式通过非官方渠道提供的苹果开发工具Xcode渗入,合法软件开发商受骗误用有问题的Xcode,因此写出受感染的程式。
基于中国的严格网络审查,许多开发人员不得不从非官方渠道获得所需工具。而今次有问题的Xcode工具是通过受欢迎云端分享平台「百度网盘」传开。在发现问题后,百度已移除相关档案。虽然涉及程式用户众多,但暂时未传出有数据遭盗用导致损失等问题。有网络保安公司称,此程式作用有限,没有非常严重的恶意行为,但事件揭露了新漏洞,不排除会引起其他攻击者仿效。
苹果App以审核严格著称,此前只出现过5个恶意应用程式。今次是恶意程式首次成批避过审批上架,目前尚未知道恶意程式是怎样避开审查。苹果发言人莫纳汉表示:「我们已经从App Store删除了这些基于伪造工具开发的应用程式。我们正在与开发者合作,确保他们使用合适版本的Xcode重写程式。」苹果不愿透露受影响程式的总数,也没有说明如何检查iPhone与iPad装置是否受感染。
此外,据加通社报道,认为自己可能受影响的用户,应将App升级到最新版本;同时建议iPad和iPhone用户修改所有密码。
程式审查门槛高 「安全天堂」仍失守
苹果公司的App Store被广泛视为安全的应用程式平台,博得安全天堂美名,这次遭恶意程式攻入,其品质测试员竟未能察觉出问题,令人意外。
苹果花费许多时间金钱,严格审查每个提交的应用程式(App),检查其质素、可用性和最重要的安全性,提交应用程式的门槛很高,App Store因而博得安全天堂美名。 Google的Play store有一段时间被形容为应用程式的「蛮荒西部」,相比之下iOS的应用程式只出过数次恶意软件情况,令这次袭击更出乎意料。安全研究人员称,原因包括开发商建立应用程式时堕入黑客陷阱,其次,苹果品质测试员这次未能察觉程式出现的威胁。
品质测试员久未发觉
黑客利用了公众对中国内地互联网过滤系统的不满,该系统阻碍使用者连接苹果和其他外国网站,有些人因而使用一些中国网站发布的外国软件或文件抄本去加速。帕洛阿尔托网络公司研究员克劳德肖说,有时从苹果伺服器下载大档案时,互联网速度非常慢,由于苹果开发工具Xcode的档案非常大,有些中国开发商选择从其他来源下载软件包或从同事处取得复本。
黑客的目标很可能是金钱。多数智能手机都连到付款系统,不法之徒渴望找出提取这些金钱流的方法。对于制作恶意程式的人来说,App Store是诱人的目标,因为在这之前苹果对App Store的保安系统都做得很好,用家松懈。再者,许多苹果用家都有可观的可支配收入,攻击者都想要分一杯羹。
Image Source: Google Image