近日爆发的开发者使用第三方渠道下载的受感染的 Xcode 编译器开发应用,致使应用携带 XcodeGhost 病毒的事件已经持续发酵,除了昨天的报道之外,到现在为止,又有进一步发展,总结起来就是以下三点更新:
【更新一】中招应用在不断扩大中,360 网络攻防实验室在跟进此事,不断更新名单,除了昨天已经确认的之外,还有按照版本号定位的百度音乐(5.2.7.3 – 5.2.7 )、穷游(6.4.1 – 6.4 )、南方航空(2.6.5.0730 – 2.6.5)、天涯社区(2.1)、微信(6.2.5 )等等应用,查看名单更新请点击此处(或前往 360 网络攻防实验室页面),目前可以确认的应用及具体版本号如下:
开眼 1.8.0 联通手机营业厅 3.2 妈妈圈 5.3.0 南方航空 2.6.5.0730 – 2.6.5 南京银行 3.6 – 3.0.4 逆轉三國 5.80.5 – 5.80 穷游 6.4.1 穷游 6.4.1 – 6.4 三国名将 4.5.0.1 – 4.5.1 天使房贷 5.3.0.2 – 5.3.0 天涯社区 5.1.0 铁路 12306 2.1 同花顺 9.60.01 同花顺 9.26.03 图钉 7.7.2 网易公开课 4.2.8 网易云音乐 2.8.3 网易云音乐 2.8.1 微信 6.2.5 我叫 MT 4.6.2 我叫 MT2 1.8.5 下厨房 4.3.2 下厨房 4.3.1 造梦西游 OL 4.6.0 诊疗助手 7.2.3 自由之战 1.0.9 卷皮 3.3.1 简书 2.9.1 股票雷达 5.6.1 – 5.6 高德地图 7.3.8.1040 – 7.3.8 高德地图 7.3.8.2037 夫妻床头话 2.0.1 动卡空间 3.4.4.1 – 3.4.4 电话归属地助手 3.6.3 滴滴打车 3.9.7.1 – 3.9.7 滴滴出行 4.0.0 炒股公开课 3.10.02 – 3.10.01 百度音乐 5.2.7.3 – 5.2.7 YaYa 药师 1.1.1 YaYa 6.4.3 – 6.4 WO + 创富 2.0.6 – 2.0.4 WallpaperFlip 1.8 VGO 视信 1.6.0 UME 电影票 2.9.4 UA 电影票 2.9.2 Theme 2.4 – 2.4 Theme 2.4.2 – 2.4 Phone+ 3.3.6 Perfect365 4.6.16 OPlayer Lite 21051 – 2105 MTP 管理微学 1.0.0 – 2.0.1 Mail Attach 2.3.2 – 2.3 Jewels Quest 2 3.39 How Old Do I Look? How Old Am I? -Face Age Camera 3.6.7 H3C 易查通 2.3 – 2.2 Digit God 2.0.4 – 2.0 Cute CUT 1.7 CarrotFantasy 1.7.0.1 – 1.7.0 CamCard 6.3.2.9095 – 6.3.2 Albums 2.9.2 AA 记账 1.8.7 – 1.8 51 卡保险箱 5.0.1 2345 浏览器 4.0.1
除了上面这些不幸被感染的 app 外,也有一些千万量级的超级 app 未受到影响。比如新闻客户端“今日头条”就在官方声明中表示,使用的是苹果官方 Xcode 开发工具,没有被注入恶意代码。估计随着事件进一步发酵,会有越来越多的应用开发者做出回应,确认 app 的安全与否。
【更新二】作为下载渠道方,迅雷也发出公告:迅雷服务器并未受到感染,并第一时间安排工程师进行检测。工程师测试了乌云网原文中提到的 Xcode6.4 和 7.0 两个版本的下载,检查了索引服务器中的文件校验信息,并对比了离线服务器上的文件,结果都与苹果官方下载地址的文件信息一致。也就是说,官方链接的 Xcode 经迅雷下载不会被植入恶意代码。
【更新三】经过 Saic 的研究,推断 XcodeGhost 的攻击模式是:在用户安装了目标应用后,木马会向服务器发送用户数据。服务器根据需要返回模拟弹窗。弹窗可以是提示支付失败,请到目标地址付款,也可以是某个软件的企业安装包。用户被诱导安装未经审核的安装包后,程序可以调用系统的私有 API,实现进一步的攻击目的。
