76款熱門iOS應用被植入XCodeGhost代碼 教你一秒分辨你的手機遭殃了嗎�?(果粉必看)
每日經(jīng)濟新聞
2015-09-22 00:15:16
一向號稱系統(tǒng)安全程度最高的蘋果這次也未能幸免����,多款iOS應用因被植入XCodeGhost代碼而有信息泄露風險�����。萬幸的是��,尚未出現(xiàn)隱私信息泄露。
每經(jīng)編輯|每經(jīng)記者 趙娜
每經(jīng)記者 趙娜
一向號稱系統(tǒng)安全程度最高的蘋果這次也未能幸免����,多款iOS應用因被植入這個代碼而有信息泄露風險。萬幸的是��,尚未出現(xiàn)隱私信息泄露�。
消息一出,果粉們都不淡定了���,自己的手機到底有沒有被代碼“侵襲”?又該如何自測���?《每日經(jīng)濟新聞》記者也特此做了以下的梳理,希望能對大家有所幫助��。
獵豹移動安全專家李鐵軍接受《每日經(jīng)濟新聞》記者采訪時表示�,此事件的解決需要等待相應的開發(fā)商更新應用。用戶如覺得不保險���,可以把相關應用暫時卸載掉。對iCloud帳號的潛在風險�����,可修改密碼或是開啟iCloud雙重驗證�����。
想自測手中蘋果設備的應用是否“中招”��?日常使用有哪些安全注意事項?Android用戶不能從Google Play官方渠道下載應用�����,又該注意什么�?“掃盲”開始!
作為iOS用戶����,你需要知道:
1.裝了有XCodeGhost代碼的應用���,有啥影響����?
根據(jù)烏云漏洞報告平臺(以下簡稱烏云)對病毒樣本的分析����,這些泄露信息其實并不涉及太多的隱私問題。但是�����,病毒擁有更多的權限����,它們在iPhone/iPad上彈出釣魚網(wǎng)站頁面�,可能騙取iCloud帳號密碼,或者其他關鍵信息。
李鐵軍告訴記者��,大家分析的結(jié)果是認為代碼存在潛在風險�����,但包括iCloud帳號信息在內(nèi)����,只是根據(jù)原理推測黑客能獲取���,目前并沒有充分的證據(jù)表明隱私信息被獲取���。
2.怎么自測手中蘋果設備的應用是否“中招”�����? 需要卸載or更新�����?
App Store上的TOP5000應用中,有76款被植入XCodeGhost代碼。
微信、高德地圖���、滴滴出行、網(wǎng)易云音樂等用戶量較大的知名APP,以及12306�、中信銀行動卡空間����、南方航空等涉及民生的APP���,均未幸免��。
目前受影響的主流APP及其對應版本如圖:(來自騰訊雷霆行動公號)
看到這兒別著急,《每日經(jīng)濟新聞》記者梳理發(fā)現(xiàn)�,包括豌豆莢旗下開眼�����、網(wǎng)易云音樂、滴滴出行、微信��、南方航空等多款APP����,已通過關閉感染源服務器�����,或向蘋果App Store提交新版APP等方式做出修復,并利用微博等渠道通告用戶及時更新。
但要注意�,已作出處理的相關APP廠商里�����,只有部分在App Store的版本更新介紹中直接標明了已修復XCodeGhost代碼問題等字樣。一句話,看到“中招”的APP名���,先留意對應的版本號,廠商已修復的及時更新應用就好。對待廠商反應遲鈍的,可以暫時卸載應用一段時間���。
蘋果App Store已經(jīng)采取行動,做法是把被感染XcodeGhost的應用下架,要求開發(fā)者提交重新編譯的應用才能上架�。
要還不放心���,以“越獄”聞名的盤古團隊開發(fā)了一款XcodeGhost檢測工具�,有需要的同學請微博搜索@PanguTeam���,自行獲取檢測工具���。
匯總下�,對此事件及日常使用���,iOS用戶如何“自保”��?
今天(9月21日)��,騰訊雷霆行動建議用戶:
1、基于安全的考慮�,最好對涉及到的密碼�、支付方式等進行修改����;
2、不要越獄����,只從官方市場下載軟件�,當有人試圖套取你的iCloud帳戶密碼或者其他重要帳戶密碼�����、手機驗證碼時���,必須謹慎對待����;
3�����、對于“中招”軟件,穩(wěn)妥起見暫時不要打開�,靜待更新�。目前微信等已經(jīng)進行了修復并將版本修復���,用戶升級到新版即可�;
4、為確保安全���,用戶也可以選擇暫時卸載那些受影響軟件。保險起見����,修改Apple ID密碼�����,iCloud帳戶密碼。
作為有著強大好奇心和求知欲的iOS用戶,你或許要問:惡意代碼為何能被大批量植入進APP�?
獵豹移動安全實驗室指出��,程序員使用Xcode非官方版本����,可能有兩個原因:官方渠道下載緩慢��,或者開發(fā)者使用了黑蘋果(盜版蘋果系統(tǒng))開發(fā)�。
9月19日早間���,自稱寫入XcodeGhost代碼的作者以 @XcodeGhost-Author(新注冊帳號)的身份�,在微博發(fā)表致歉聲明并公開源碼,稱這只是一個實驗性項目��,沒有任何包含威脅性的行為�����。
騰訊科技援引業(yè)內(nèi)人士說法稱,作者并不希望被外界知道其身份����。這份澄清聲明的真實性引發(fā)業(yè)界熱議����,但也獲得多個安全領域?qū)<肄D(zhuǎn)發(fā)���。
另有觀點稱����,這背后或存在著黑色產(chǎn)業(yè)鏈(以下簡稱黑產(chǎn))團隊,涉及多個平臺。
XCodeGhost事件暴露的是��,辛苦的程序猿們圖了一時方便��。但你要知道��,程序猿們也是出于被GFW(“防火長城”)阻隔的影響。蘋果開發(fā)軟件官網(wǎng)下載速度慢,而Android開發(fā)包不“翻墻”就無法從官網(wǎng)下載。這次之后,廣大程序猿估計會多加注意了。
如果有看到此處的Android用戶,你們沒有被遺忘���!
“彩蛋(簡易)”安全指南在此:
對開放性更強的Android系統(tǒng),受眾所周知的原因影響,堅持從官方商店Google Play下載應用的國內(nèi)用戶是小眾的�����,主流用戶多從第三方渠道獲取應用���。
如此����,請從騰訊應用寶、百度手機助手、豌豆莢等正規(guī)Android市場下載APP��,拋棄來路不明的安裝源���。然后�,下載應用前請別忽視軟件描述和權限��,多看下是否有諸如官方版���、安全�、無廣告等字樣��。對于認為申請可疑權限過多的APP���,是不是考慮不裝或?qū)ふ彝愄娲罚?/p>
好消息是�,Android M(6.0)系統(tǒng)將增加新的管理權限控制����,新系統(tǒng)將實現(xiàn)直接讓用戶只同意勾選應用的部分權限,并在之后隨時做出更改����。此外�,管理應用權限和結(jié)束進程這些功能���,現(xiàn)在通過第三方APP也能實現(xiàn)��。
