iOS应用遭攻击事件来龙去脉

　　回顾下这次事件的来龙去脉，国家互联网应急中心于2015年9月14日发布公告，称部分app使用非苹果官方Xcode存在植入恶意代码的情况。但是，从后来9月19日腾讯安全应急响应中心发布的文章中得知，国家互联网应急中心的公告是在得到腾讯上报后发出的。
　　
　　直到9月17日之前，并未引起太多关注，将XcodeGhost事件在网上发酵的是9月17日猿题库iOS开发工程师唐巧的一条个人微博，引起了网友的转发和评论，该微博称：“一个朋友告诉我他们通过在非官方渠道下载的Xcode编译出来的app被注入了第三方的代码，会向一个网站上传数据，目前已知两个知名的App被注入，检测方式见附图。”
　　
　　这个带病毒版本Xcode是来自于coderfun的百度网盘分享，此百度网盘分享了大量的Xcode，最后一次更新还是很久以前。目前其已经取消所有网盘的分享。
　　
　　另外网友发现：随便找了一下这个coderfun的记录，根据发帖记录显示，此人从很久之前(6个月前)就开始大批量的推广他的带有恶意代码的Xcode，并且在多个常见的iOS开发论坛进行推广下载：
　　
　　随后，陆续有中招的app被发现。9月18日，微博用户@图拉鼎发布了由他测试验证受感染的APP。其中提到的有网易云音乐、滴滴出行、以及12306。
　　
　　接着一大批受感染app名单曝光，来自360网络攻防实验室的排查。
　　
　　事件的一个转折点出现在9月19日早上4:40，自称是XcodeGhost事件的始作俑者以@XcodeGhost-Author的身份在新浪微博贴出致歉声明，称其只是一个实验性项目，并没有任何包含威胁性的行为。并公开了源码。
　　
　　但对其回复的真实性质疑者居多，微博用户@矮穷龊-陆羽回应：
　　
　　我们3点多发微博，4点都你的稿子就出来了，是因为身份暴漏了。所以发这个帖子么？姑且不说你是不是真的作者，如果真的是，你的解释是不同的，因为域名注册早在2015年2月25日，而CIA后门稿子在3月12日，大规模传播在3月13日，你是先知么？另外后长期续一系列的隐藏和变换身份的操作，就说明你是蓄意的！
　　
　　微博用户@onevcat解读：
　　
　　算个账，微信用户总数5亿日活70%。每天每人就算5个POST请求，每个请求300Byte，日流入流量就接近500G，以及17.5亿次请求。据说服务器扔在亚马逊，那么资费算一下每个月应该是存储$450，请求$260K。这还只是单单一个微信，再算上网易云音乐等等，每月四五十万刀仅仅是苦逼iOS开发者的个人实验？
　　
　　9月21日上午，苹果终于出来回应，苹果发言人克里斯汀·莫纳汉(ChristineMonaghan)在一封电子邮件中表示：“我们已经从AppStore删除了这些基于伪造工具开发的应用。我们正在与开发者合作，确保他们使用合适版本的Xcode去重新开发应用。”
　　
　　Xcode是什么，恶意程序如何入侵？
　　
　　Xcode是苹果公司的官方开发工具，运行在操作系统MacOSX上，是目前开发者开发MacOS和iOS应用程序的最普遍的方式。
　　
　　XcodeGhost病毒主要通过非官方下载的Xcode传播，能够在开发过程中通过CoreService库文件进行感染，使编译出的App被注入第三方的代码，向指定网站上传用户数据。
　　
　　Xcode官方下载渠道是在MacAppStore里下载，但是很多使用Mac笔记本的网友应该了解，MacAppStore总是很难打开的样子。因此有些着急程序员为了方便，直接使用了国内的下载工具下载，因而也就下载到了带有XcodeGhost病毒的Xcode。
　　
　　直接修改Xcode本体，在其中植入恶意代码，主动发布到百度云等网盘，并在各个开发者论坛留言提供下载连接。
　　
　　使用了修改后的Xcode程序编译程序时，恶意代码会自动加载到开发者开发的程序中。并提交到苹果应用商店。
　　
　　对用户到底有什么影响？
　　
　　Clover四叶新媒体联合创始人Saic在微博上发布一篇名为《爷爷奶奶都能看懂的iOS恶意代码事件科普》其中提到：
　　
　　根据目前的研究进展以及自称是开发者公布的恶意代码源码，代码主要做了以下事情：
　　
　　在用户安装了目标应用后，木马会向服务器发送用户数据。
　　
　　服务器会返回一些可以让程序弹出提示的控制代码，例如：
　　
　　·用户名密码错误，请到以下地址修改，用户确认后跳转到一个伪造的钓鱼网站
　　
　　·弹出AppStore官方的应用下载页面，诱导用户下载
　　
　　·程序有升级，用户确认后可以利用非官方渠道、修改过的应用替换掉当前应用
　　
　　·其他非官方应用程序的推广和下载
　　
　　因为弹窗是从用户信任的应用里弹出，很多时候不会多做怀疑就会授权或确认下载。
　　
　　另外根据相关研究，代码可能存在多种变种，可能存在直接窃取用户AppleID的版本，模拟系统登陆框在技术上是可行的。
　　
　　严格的苹果审核流程，为何出错？
　　
　　按照苹果的正常审核流程，App通常至少要进行一周的严格审核，且在此事件之前，AppStore一共只发现过5款恶意应用。这次的恶意程序是如何趁虚而入，骗过了AppStore得以上架的？
　　
　　据乌云白帽子王彪透露，这些病毒收集信息包括时间、bundleid(包名)、应用名称、系统版本、语言、国家等，目前看到还没有用户敏感信息，加之国内一些APP也会收集同样的信息，苹果可能有疏忽让病毒趁虚而入。
　　
　　也就是说对于苹果来说，这段恶意代码与普通的第三方统计代码并没有区别，因为并没有涉及到苹果禁止开发者使用的接口，所以带有恶意代码的应用可以正常发布到AppStore。
　　
　　最后，是知乎网友对此事的评价，很多时候网络安全我们都没有在意，但当它真正发生了才会令你细思极恐。
　　
　　@Belleve：这是个处心积虑、策划多年的骗局，其手法之高明，说明攻击者要么是经验丰富的老道黑客，要么就是有专业的黑产公司。不同于之前时候那些依靠力量的攻击，这个骇客成功地实现了四两拨千斤，用最少的资源获取到了最多的隐私资料，而且过了甚久才被察觉。这次的攻击绝对可以载入史册，绝对的。
　　
　　@yangleonier：这应当是AppStore2008年上线以来遭受的规模最大的攻击，涉及应用之广已经完全超过想象，若非发现及时，此病毒再增加更丰富的机能(如对密码输入框进行hook等)之后，可能成为中国历史甚至世界历史上涉案金额最高的黑客事件之一。
　　
　　@谢弘：不少用户对iOS的生态的信任感遭到破坏，这一点是我感到最大的损失，尤其是很多人非黑即白的眼中，出了问题很容易推出“iOS很危险”的奇怪结论，就算发生这种事情，我认为iOS目前还是最好的移动操作系统之一，目前出问题的App以360扫描的成果为例，不到总数的0.5%，多数国民级别的App并没受到影响。