76款熱門iOS應(yīng)用被植入XCodeGhost代碼 教你一秒分辨你的手機遭殃了嗎��?(果粉必看)
每日經(jīng)濟新聞
2015-09-22 00:15:16
一向號稱系統(tǒng)安全程度最高的蘋果這次也未能幸免���,多款iOS應(yīng)用因被植入XCodeGhost代碼而有信息泄露風險�����。萬幸的是���,尚未出現(xiàn)隱私信息泄露����。
每經(jīng)編輯 每經(jīng)記者 趙娜
每經(jīng)記者 趙娜
一向號稱系統(tǒng)安全程度最高的蘋果這次也未能幸免����,多款iOS應(yīng)用因被植入這個代碼而有信息泄露風險。萬幸的是���,尚未出現(xiàn)隱私信息泄露���。
消息一出,果粉們都不淡定了�,自己的手機到底有沒有被代碼“侵襲”?又該如何自測���?《每日經(jīng)濟新聞》記者也特此做了以下的梳理��,希望能對大家有所幫助���。
獵豹移動安全專家李鐵軍接受《每日經(jīng)濟新聞》記者采訪時表示���,此事件的解決需要等待相應(yīng)的開發(fā)商更新應(yīng)用。用戶如覺得不保險�����,可以把相關(guān)應(yīng)用暫時卸載掉����。對iCloud帳號的潛在風險,可修改密碼或是開啟iCloud雙重驗證���。
想自測手中蘋果設(shè)備的應(yīng)用是否“中招”?日常使用有哪些安全注意事項��?Android用戶不能從Google Play官方渠道下載應(yīng)用�����,又該注意什么��?“掃盲”開始!
作為iOS用戶�����,你需要知道:
1.裝了有XCodeGhost代碼的應(yīng)用��,有啥影響���?
根據(jù)烏云漏洞報告平臺(以下簡稱烏云)對病毒樣本的分析��,這些泄露信息其實并不涉及太多的隱私問題�����。但是�����,病毒擁有更多的權(quán)限����,它們在iPhone/iPad上彈出釣魚網(wǎng)站頁面����,可能騙取iCloud帳號密碼�����,或者其他關(guān)鍵信息���。
李鐵軍告訴記者,大家分析的結(jié)果是認為代碼存在潛在風險�,但包括iCloud帳號信息在內(nèi),只是根據(jù)原理推測黑客能獲取���,目前并沒有充分的證據(jù)表明隱私信息被獲取�。
2.怎么自測手中蘋果設(shè)備的應(yīng)用是否“中招”�����? 需要卸載or更新��?
App Store上的TOP5000應(yīng)用中���,有76款被植入XCodeGhost代碼。
微信�����、高德地圖、滴滴出行�����、網(wǎng)易云音樂等用戶量較大的知名APP�,以及12306、中信銀行動卡空間���、南方航空等涉及民生的APP��,均未幸免����。
目前受影響的主流APP及其對應(yīng)版本如圖:(來自騰訊雷霆行動公號)
看到這兒別著急�,《每日經(jīng)濟新聞》記者梳理發(fā)現(xiàn),包括豌豆莢旗下開眼�、網(wǎng)易云音樂、滴滴出行�、微信、南方航空等多款A(yù)PP�,已通過關(guān)閉感染源服務(wù)器,或向蘋果App Store提交新版APP等方式做出修復(fù)�,并利用微博等渠道通告用戶及時更新。
但要注意�,已作出處理的相關(guān)APP廠商里�,只有部分在App Store的版本更新介紹中直接標明了已修復(fù)XCodeGhost代碼問題等字樣���。一句話�����,看到“中招”的APP名�����,先留意對應(yīng)的版本號�,廠商已修復(fù)的及時更新應(yīng)用就好��。對待廠商反應(yīng)遲鈍的����,可以暫時卸載應(yīng)用一段時間。
蘋果App Store已經(jīng)采取行動����,做法是把被感染XcodeGhost的應(yīng)用下架,要求開發(fā)者提交重新編譯的應(yīng)用才能上架���。
要還不放心��,以“越獄”聞名的盤古團隊開發(fā)了一款XcodeGhost檢測工具����,有需要的同學請微博搜索@PanguTeam��,自行獲取檢測工具���。
匯總下���,對此事件及日常使用,iOS用戶如何“自保”����?
今天(9月21日),騰訊雷霆行動建議用戶:
1����、基于安全的考慮,最好對涉及到的密碼��、支付方式等進行修改��;
2��、不要越獄,只從官方市場下載軟件��,當有人試圖套取你的iCloud帳戶密碼或者其他重要帳戶密碼��、手機驗證碼時�,必須謹慎對待;
3�、對于“中招”軟件,穩(wěn)妥起見暫時不要打開����,靜待更新。目前微信等已經(jīng)進行了修復(fù)并將版本修復(fù)���,用戶升級到新版即可�����;
4�����、為確保安全����,用戶也可以選擇暫時卸載那些受影響軟件。保險起見��,修改Apple ID密碼�����,iCloud帳戶密碼�����。
作為有著強大好奇心和求知欲的iOS用戶��,你或許要問:惡意代碼為何能被大批量植入進APP��?
獵豹移動安全實驗室指出����,程序員使用Xcode非官方版本��,可能有兩個原因:官方渠道下載緩慢���,或者開發(fā)者使用了黑蘋果(盜版蘋果系統(tǒng))開發(fā)�����。
9月19日早間���,自稱寫入XcodeGhost代碼的作者以 @XcodeGhost-Author(新注冊帳號)的身份��,在微博發(fā)表致歉聲明并公開源碼�,稱這只是一個實驗性項目��,沒有任何包含威脅性的行為���。
騰訊科技援引業(yè)內(nèi)人士說法稱���,作者并不希望被外界知道其身份。這份澄清聲明的真實性引發(fā)業(yè)界熱議�����,但也獲得多個安全領(lǐng)域?qū)<肄D(zhuǎn)發(fā)����。
另有觀點稱,這背后或存在著黑色產(chǎn)業(yè)鏈(以下簡稱黑產(chǎn))團隊����,涉及多個平臺����。
XCodeGhost事件暴露的是�,辛苦的程序猿們圖了一時方便。但你要知道����,程序猿們也是出于被GFW(“防火長城”)阻隔的影響�。蘋果開發(fā)軟件官網(wǎng)下載速度慢,而Android開發(fā)包不“翻墻”就無法從官網(wǎng)下載����。這次之后,廣大程序猿估計會多加注意了����。
如果有看到此處的Android用戶,你們沒有被遺忘�!
“彩蛋(簡易)”安全指南在此:
對開放性更強的Android系統(tǒng),受眾所周知的原因影響��,堅持從官方商店Google Play下載應(yīng)用的國內(nèi)用戶是小眾的�����,主流用戶多從第三方渠道獲取應(yīng)用。
如此�����,請從騰訊應(yīng)用寶�、百度手機助手、豌豆莢等正規(guī)Android市場下載APP�,拋棄來路不明的安裝源。然后����,下載應(yīng)用前請別忽視軟件描述和權(quán)限,多看下是否有諸如官方版�、安全、無廣告等字樣���。對于認為申請可疑權(quán)限過多的APP�,是不是考慮不裝或?qū)ふ彝愄娲罚?/p>
好消息是�����,Android M(6.0)系統(tǒng)將增加新的管理權(quán)限控制����,新系統(tǒng)將實現(xiàn)直接讓用戶只同意勾選應(yīng)用的部分權(quán)限�,并在之后隨時做出更改��。此外���,管理應(yīng)用權(quán)限和結(jié)束進程這些功能����,現(xiàn)在通過第三方APP也能實現(xiàn)��。
