對(duì)于蘋(píng)果Xcode事件，很多用戶(hù)都會(huì)有一系列的疑惑，如為何帶有Xcodeghost病毒的Xcode會(huì)被廣泛流傳并進(jìn)入開(kāi)發(fā)者手中？哪些信息遭受了泄露？存在哪些危害？應(yīng)該如何避免損失？對(duì)于用戶(hù)的種種疑問(wèn)，記者邀請(qǐng)了永信至誠(chéng)CTO張凱為我們解答。同時(shí)張凱分析，泄露的龐大信息可能會(huì)流向黑客產(chǎn)業(yè)鏈中。

蘋(píng)果的安全是以其系統(tǒng)的封閉性來(lái)保證的，所有用戶(hù)下載的APP都會(huì)經(jīng)開(kāi)發(fā)者上傳到APP Store進(jìn)行審查和發(fā)放。但是Xcode Ghost病毒感染的是開(kāi)發(fā)者的開(kāi)發(fā)工具，并且對(duì)自己的行為做了偽裝，導(dǎo)致蘋(píng)果的審查機(jī)制以為這個(gè)病毒的要求是開(kāi)發(fā)者的要求而予以放行。由于蘋(píng)果的監(jiān)控僅限于對(duì)提交的APP進(jìn)行安全審核，但是不能監(jiān)控后續(xù)該病毒與病毒作者的服務(wù)器的溝通。這也從一個(gè)側(cè)面暴露出蘋(píng)果的審查機(jī)制有漏洞，才會(huì)讓病毒作者有機(jī)可乘。

Xcode Ghost能如此大范圍傳播，主要是和Xcode Ghost的傳播思路有關(guān)系。傳播者將被感染的Xcode開(kāi)發(fā)工具上傳到云和離線服務(wù)器、bbs等公共下載平臺(tái)，因?yàn)樵趪?guó)內(nèi)從蘋(píng)果官網(wǎng)下載軟件（Xcode開(kāi)發(fā)工具）速度比較慢，所以很多人因?yàn)橥祽芯驮诘谌角老螺d，加上傳播者故意的誘導(dǎo)，從而引發(fā)如此大范圍的傳播。

由于Xcode Ghost自身隱藏的比較好，而且一直沒(méi)有做惡，只是偽裝成正常APP的請(qǐng)求在默默地往指定服務(wù)器傳送用戶(hù)數(shù)據(jù)，因此一直都沒(méi)有被發(fā)現(xiàn)，但是尚不知具體從什么時(shí)候流入到APP Store，也就是說(shuō)不知道Xcode Ghost運(yùn)行了多久。

烏云知識(shí)庫(kù)作者蒸米對(duì)注入的病毒樣本“Xcode Ghost”進(jìn)行了分析，該病毒會(huì)收集應(yīng)用和系統(tǒng)的基本信息，包括時(shí)間、 bundle id （包名）、應(yīng)用名稱(chēng)、系統(tǒng)版本、語(yǔ)言、國(guó)家等，并上傳到 init.icloud-analysis.com （該域名為病毒作者申請(qǐng)，用于收集數(shù)據(jù)信息），雖然這些信息不算敏感信息，但是不排除這些龐大的信息會(huì)流向黑客產(chǎn)業(yè)中的可能性。

目前我們分析出了三個(gè)潛在威脅。第一，通過(guò)DNS劫持來(lái)被壞人通過(guò)路由器偽造服務(wù)器地址，讓用戶(hù)信息繼續(xù)泄露，同時(shí)，還可以通過(guò)漏洞給用戶(hù)強(qiáng)制安裝APP并偽造短信等；第二，病毒作者的傳播思路很可能會(huì)被人學(xué)習(xí)，為未來(lái)更多惡性病毒傳播提供了經(jīng)驗(yàn)；第三，病毒原作者可能還做了基于Android開(kāi)發(fā)平臺(tái)病毒，和Xcode Ghost類(lèi)似。所以Android手機(jī)用戶(hù)也可能已經(jīng)感染了病毒，而且目前沒(méi)有流行的查殺辦法，最好盡快升級(jí)最新版APP。

目前據(jù)不完全統(tǒng)計(jì)，有4400多個(gè)應(yīng)用版本（含一個(gè)APP的多個(gè)版本）中毒，數(shù)字還在增加中，不過(guò)這個(gè)數(shù)字不是蘋(píng)果官方公布的，而是安全公司通過(guò)技術(shù)手段掃描和搜集的。

對(duì)于iOS用戶(hù)來(lái)講，目前最有效的檢測(cè)中毒應(yīng)用的手段是下載盤(pán)古團(tuán)隊(duì)開(kāi)發(fā)的Xcode病毒檢測(cè)工具。對(duì)于開(kāi)發(fā)者和開(kāi)發(fā)公司來(lái)講，最有效的檢測(cè)方法是下載啟明星辰的檢測(cè)工具，或者把APP包上傳到啟明星辰VirusBook.cn進(jìn)行檢測(cè)。如果不考慮換手機(jī)的話(huà)；第一，需要盡快修改icloud密碼；第二，使用盤(pán)古的查殺工具來(lái)自檢；第三，及時(shí)從APP Store更新官方最新應(yīng)用。

黑色產(chǎn)業(yè)知識(shí)鏈接：

黑客可以通過(guò)將病毒預(yù)置在APP中，竊取手機(jī)中我們的個(gè)人隱私信息，甚至發(fā)送詐騙短信、篡改我們的用戶(hù)數(shù)據(jù)等等。黑客這么做的目的無(wú)非是為了獲利，在黑色產(chǎn)業(yè)中，大量的用戶(hù)信息是可以明碼標(biāo)價(jià)進(jìn)行售賣(mài)的，而上億的用戶(hù)信息，其價(jià)值無(wú)法估量，甚至不排除可以利用這些信息達(dá)成一些政治目的的可能性。