中國的蘋(píng)果用戶(hù)遇上大事了。
之所以要強調中國,是因為這次大規模爆發(fā)的蘋(píng)果病毒(嚴格來(lái)說(shuō)是一種后門(mén)漏洞)XcodeGhost,主要影響中國大陸人。
先說(shuō)你們最關(guān)心的后門(mén)癥狀(其實(shí)這個(gè)描述了也沒(méi)卵用,后面你就知道為啥沒(méi)用了)。根據烏云知識庫里用戶(hù)@蒸米 的描述,所有中招的蘋(píng)果App,會(huì )收集一些iPhone和app的基本信息,包括:時(shí)間,bundle id(包名),應用名稱(chēng),系統版本,語(yǔ)言,國家,然后發(fā)送到一個(gè)仿冒蘋(píng)果的網(wǎng)站(http://init.icloud-analysis.com)上。這些收集和發(fā)送動(dòng)作都是后臺進(jìn)行的,所以其實(shí)你們不會(huì )覺(jué)察到任何異常。
目前看來(lái)這些信息還不算太敏感。但有技術(shù)人員透露,這個(gè)后門(mén)也可能有一些代碼(未確認!),用來(lái)向用戶(hù)彈出要求登錄蘋(píng)果ID的請求框。而這一段代碼并不是每次都出現的,也就是說(shuō),現在可能還沒(méi)被監測到。蘋(píng)果ID泄露了會(huì )怎么樣,請大家自行Google“好萊塢艷照”。
有哪些App中招了呢?很不幸,微信iPhone版,6.2.5,已經(jīng)確認。微信團隊昨晚(9月18日)21:43分通過(guò)官方微博承認了這一點(diǎn):“網(wǎng)上傳播微信6.2.5版本存在嚴重漏洞的說(shuō)法,微信團隊說(shuō)明如下圖:1.該問(wèn)題僅存在iOS 6.2.5版本中,最新版本微信已經(jīng)解決此問(wèn)題……”
這就是淼叔說(shuō)的“即使描述了中招癥狀也沒(méi)卵用”的原因。微信是國民App,在相對高端的蘋(píng)果用戶(hù)群體里應該更是必備應用。它都中招了,你還不得改Apple ID密碼,沒(méi)商量么。這也是我一開(kāi)始說(shuō)的“主要影響中國大陸用戶(hù)”的第一個(gè)原因。第二個(gè)原因是什么?往下看。
這個(gè)后門(mén)是怎么產(chǎn)生的呢?大家知道,開(kāi)發(fā)蘋(píng)果iPhone上的App,有一款工具必不可少,就是蘋(píng)果自家出的Xcode。它要負責把源代碼編譯為可執行的App,開(kāi)發(fā)者才能把App上傳到蘋(píng)果應用商店后臺,經(jīng)過(guò)蘋(píng)果官方審核后,App在應用商店App Store上架,正式開(kāi)放下載。
這次的問(wèn)題就出現在Xcode上。后門(mén)制作者制造了一個(gè)“加料版”Xcode。凡是用這個(gè)Xcode編譯的App,里面就都會(huì )帶有本文一開(kāi)始介紹的那個(gè)功能,自動(dòng)發(fā)送用戶(hù)信息到一個(gè)仿冒服務(wù)器上。
這是相當高明的一個(gè)做法。普通病毒靠用戶(hù)和用戶(hù)之間傳播,速度再快,也受社交網(wǎng)絡(luò )關(guān)系的限制,也可能被第三方廠(chǎng)商查殺(因為這些廠(chǎng)商可以比對中毒文件與官方文件的差別)。但把病毒或者說(shuō)后門(mén)植入到Xcode這個(gè)必備工具里,就從源頭污染了所有官方的App,比用戶(hù)之間傳播效率高多了。這些App有再不正常的舉動(dòng),也只能讓用戶(hù)和安全廠(chǎng)商以為這是官方設定,而不是病毒所致。
有人要問(wèn),那直接從蘋(píng)果官方下載Xcode不就行了嗎,明明該工具是免費的,用盜版也沒(méi)動(dòng)力呀。其實(shí)吧,還真有動(dòng)力。因為吧這個(gè)工具的體積不小,有2G多。而在中國大陸連接蘋(píng)果服務(wù)器下載這個(gè)軟件呢,據一些碼農朋友哭訴,幾分鐘十幾分鐘就會(huì )斷線(xiàn)一次,還有下了通宵然后最后斷掉的。所以不得已就只能去一些軟件下載站尋找替代辦法。根據上述烏云帖子的分析,制毒者一開(kāi)始也正是通過(guò)百度網(wǎng)盤(pán)散發(fā)帶毒Xcode的鏈接,從而引發(fā)擴散的。
至于為啥下載Xcode會(huì )這么慢呢?淼叔不敢明說(shuō),只知道其他國家好像很少人抱怨這個(gè)問(wèn)題,似乎又是一個(gè)“中國國情”。具體原因,您可以自行Google“SICK四國”。
所有中招的用戶(hù)能做什么呢?
首先就是更改蘋(píng)果的Apple ID密碼,就是你在A(yíng)pp Store里購買(mǎi)APP時(shí)要輸入的那個(gè)密碼,也是你登錄iCloud時(shí)輸入的密碼。其次,根據西祠胡同和孢子社區創(chuàng )始人@響馬 的建議,如果你在中招APP中輸入過(guò)信用卡帳號,進(jìn)行過(guò)購買(mǎi)或者說(shuō)內購行為,那就換信用卡吧。淼叔仔細回想了下,我應該是沒(méi)在這類(lèi)App里輸入過(guò)信用卡,因為我一般直接在蘋(píng)果官方商店里充值……
最后,來(lái)看看還有哪些App中招了吧。你會(huì )發(fā)現不少熟悉的面孔呢。知乎用戶(hù)李浩宇建立了一個(gè)Google在線(xiàn)文檔列表,隨時(shí)更新這些中招App的名字和驗證方式。例如,網(wǎng)易云音樂(lè )和豌豆莢開(kāi)眼已經(jīng)官方確認了中招,但更多的App還是靠網(wǎng)友自己抓包分析出來(lái)的(詳情點(diǎn)擊:文檔地址超鏈接)當然,根據我前面說(shuō)的原因,這個(gè)網(wǎng)址中國大陸用戶(hù)是打不開(kāi)地。
這個(gè)列表中,我們看到,網(wǎng)易云音樂(lè )、滴滴出行、高德地圖、下廚房、12306、喜馬拉雅、簡(jiǎn)書(shū)、同花順、中國聯(lián)通手機營(yíng)業(yè)廳都赫然在列。不過(guò)我還是說(shuō)一句,只要你裝了微信,那這個(gè)表看不看意義不大了……反正都得換。
關(guān)于這次大規模爆發(fā)的蘋(píng)果iPhone后門(mén)事件,淼叔會(huì )隨時(shí)在山寨發(fā)布會(huì )的微信公眾號上更新動(dòng)態(tài)。因為山寨發(fā)布會(huì )里各家公司的代表基本都在,他們會(huì )及時(shí)確認自家App是否中招,以及評估可能出現的損失。
這是最權威的更新發(fā)布,都會(huì )及時(shí)更新在公眾號里。大家對山寨發(fā)布會(huì )微信公眾號回復一個(gè)“ghost”或者“動(dòng)態(tài)”,就能看到最新動(dòng)態(tài)。
