手机 App 已上线
点我下载
开发商透过非官方渠道下载Xcode肇祸。图为连接至受感染版Xcode的搜寻网页。 互联网
美国苹果公司旗下的iOS App Store首次遭到大规模攻击,多个合法软件开发商,误用被黑客植入恶意程式的Xcode开发工具,写出有问题的应用程式(App)。估计超过300个Apps受感染,包括在中国甚至全球广受华人欢迎的微信App,影响数以亿计iPhone和iPad用户,其个人资料有外泄风险。
黑客植入恶意程式被称为XcodeGhost,大部分中招的Apps受中国用户青睐,包括叫车程式滴滴出行、网易音乐、微博相机、豆瓣阅读等,另有部分受感染的是在中国境外也广泛使用的程式,如广受全球华人喜爱的聊天程式微信。据中国报章报道,南京银行、南方航空、中国联通等官方App也中招。
滴滴打车、网易和腾讯等分别发出声明,证实中毒。部分公司已提供修正更新。腾讯表示,微信仅iOS 6.2.5受影响,但6.2.6以后的版本没有问题。这是首次发生大量有问题Apps进入苹果应用商店的案例。研究人员说,恶意程式在Apps的主要行为,是收集苹果装置中的讯息数据。
有关恶意程式会令App自动上传用户讯息,包括App的名称、版本、语言、安装时间、iOS版本、装置编号和类型等,能读取和编辑使用者的剪贴簿,或是开启特定的网页,并有可能弹出以假乱真的警告讯息,骗用户输入iCloud密码。
苹果称问题App已下架
阿里巴巴移动安全团队最先在上周发现此恶意程式,并发表多篇文章详细记录。美国网路安全公司Palo Alto Networks表示,恶意程式透过非官方渠道提供的苹果开发工具Xcode渗入,合法软件开发商受骗误用有问题的Xcode,因此写出受感染的程式。
基于中国的严格网络审查,许多开发人员不得不从非官方渠道获得所需工具。而今次有问题的Xcode工具是透过受欢迎云端分享平台「百度网盘」传开。在发现问题后,百度已移除相关档案。虽然涉及程式用户众多,但暂时未传出有数据遭盗用导致损失等问题。有网络保安公司称,此程式作用有限,没有非常严重的恶意行为,但事件揭露了新漏洞,不排除会引起其他攻击者仿效。
苹果App以审核严格著称,此前只出现过5个恶意应用程式。今次是恶意程式首次成批避过审批上架,目前尚未知道恶意程式是怎样避开审查。苹果发言人莫纳汉表示:「我们已经从App Store删除了这些基于伪造工具开发的应用程式。我们正在与开发者合作,确保他们使用合适版本的Xcode重写程式。」苹果不愿透露受影响程式的总数,也没有说明如何检查iPhone与iPad装置是否受感染。
此外,据加通社报道,认为自己可能受影响的用户,应将其App升级到最新版本;同时建议iPad和iPhone用户修改所有密码。
温哥华天空
