标题: App Store遭病毒入侵 网易云音乐等中招 [打印本页]

---

作者: 处男也是人    时间: 2015-9-18 18:56     标题: App Store遭病毒入侵 网易云音乐等中招

posted by wap, platform: iPhone
腾讯科技讯 9月18日，据乌云网和硅谷安全公司Palo Alto发布安全预警称，在App Store上架的网易云音乐等多个应用被注入Xcode第三方恶意代码，会将用户信息发送到病毒作者服务器。

乌云网称，开发者用了非官方渠道下载的Xcode编译工具，导致所开发的应用被注入了第三方代码，会主动向一个网站上传应用和系统的基本信息。网易云音乐最新版v2.8.3已经感染病毒。

Twitter用户@fannheyward 爆料称，受影响的除了网易云音乐外，还包括12306、中信银行动卡空间等应用。@fannheyward 为爱微创想的iOS开发主管。

目前，第三方恶意代码所指向的恶意网站init.icloud-analysis.com已关闭，据了解该域名为病毒作者申请，用于收集数据信息。

猎豹移动安全专家李铁军告诉腾讯科技，这是对开发工具改造造成的危机。由于该病毒会收集包括时间，bundle id(包名)，应用名称，系统版本，语言，国家等，并上传，所以在某种程度上会泄露隐私。

不过，由于苹果本身权限限制比较严格，这类信息的泄露相对来说，威胁并不严重，而且用户不用过分担心帐号安全。

李铁军表示，目前唯一解决问题的方式是，只能等待开发者重新发新的安装包替换。对用户来说可以选择卸载应用，或者等待升级更新。

以下为乌云网发布的安全预警报告：

不可信下载源Xcode包含恶意代码预警（已有企业APP发布受到影响）

9月17日上午，微博用户@JoeyBlue_ 曝光称，有开发者用了非官方渠道下载的Xcode编译出来的应用被注入了第三方的代码，会向一个网站上传数据。目前已知两个知名应用被注入。

乌云知识库作者蒸米对注入的病毒样本“XcodeGhost“进行分析，确认了上述说法。经分析，该病毒会收集应用和系统的基本信息，包括时间、bundle id(包名)、应用名称、系统版本、语言、国家等，并上传到init.icloud-analysis.com（该域名为病毒作者申请，用于收集数据信息）。



样本文件中发现用以收集信息的函数

18日上午，硅谷安全公司Palo Alto跟踪事件后发现国内知名应用网易云音乐中招，当前App Store上架的网易云音乐最新版v2.8.3已经感染病毒，会将手机隐私信息上传至病毒作者的服务器上（Palo Alto还发现存在更多收集数据的域名）。

乌云建议，使用非官方渠道下载Xcode的iOS开发者请立刻展开自查，并对受影响版本进行处理。我们也会持续关注事件进展。

附检查方法：

恶意Xcode包含有如下文件“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”；正常的Xcode的SDK目录下没有Library目录（来自@JoeyBlue_）

其次，还应该检测一下Target->Build Setting->Search Paths->Framework Search Paths的设置，看看是否有可疑的frameworks混杂其中。

---

作者: ludwigcn    时间: 2015-9-18 19:46

posted by wap, platform: Windows
树大招风啊

---

作者: jlapton    时间: 2015-9-18 21:10

posted by wap, platform: 华为 荣耀3X 畅玩版
黑苹果开发的？

---

作者: 一个大叫驴    时间: 2015-9-18 21:21

用带毒的开发工具开发的，上传到APP STORE也检测不出，这不比按脚机那些漏洞恐怖的多？过几天就爆出一堆网银软件出问题了吧

---

作者: xxhunter    时间: 2015-9-18 21:31

posted by wap, platform: iPhone
卧槽 我天天用动卡空间和网易云音乐
现在咋办？都卸载？有用吗？

---

作者: ueol    时间: 2015-9-18 22:47

posted by wap, platform: iPhone
我也中招了

---

作者: HORA    时间: 2015-9-19 01:04

posted by wap, platform: iPhone
没准是假的

---

作者: Alloyo    时间: 2015-9-19 02:26

posted by wap, platform: iPhone
appstore审核不检查代码？

---

作者: 燕山隐士    时间: 2015-9-19 06:30

posted by wap, platform: Meizu MX3

引用:

原帖由 @Alloyo  于 2015-9-19 02:26 发表
appstore审核不检查代码？

苹果肯定没想到开发工具还会有这种情况 而且源代码一般都是企业秘密 不会轻易展示给别人

---

作者: elia    时间: 2015-9-19 06:50

posted by wap, platform: iPhone
时间、bundle id(包名)、应用名称、系统版本、语言、国家

这些其实没什么危害，关键没有授权是上传不了的，但还是得注意事件的后续发展

---

作者: 小文    时间: 2015-9-19 07:02

引用:

原帖由 xxhunter 于 2015-9-18 21:31 发表
posted by wap, platform: iPhone
卧槽 我天天用动卡空间和网易云音乐
现在咋办？都卸载？有用吗？

改iCloud密码，开二步验证

---

作者: 绯雨音乐    时间: 2015-9-19 07:28

posted by wap, platform: iPhone
对苹果来说真算是大事了
对安卓来说这都是小儿科吧

---

作者: akii    时间: 2015-9-19 07:32

posted by wap, platform: iPad
微信6.2.5也中招了，不过企鹅马上升级了一下

---

作者: love_mm    时间: 2015-9-19 07:33

posted by wap, platform: iPhone
澄清声明，着到底算啥

http://weibo.com/u/5704632164

---

作者: 绝赞好评    时间: 2015-9-19 08:18

posted by wap, platform: iPhone
可见国内整体开发水平和项目管理有多傻逼了，这还都是些互联网大企业
退一步说你开发用带毒工具调试也就罢了，项目release版本居然都不用官方编译工具

---

作者: Wbird    时间: 2015-9-19 08:26

posted by wap, platform: Meizu MX2

引用:

原帖由 @绝赞好评  于 2015-9-19 08:18 发表
可见国内整体开发水平和项目管理有多傻逼了，这还都是些互联网大企业
退一步说你开发用带毒工具调试也就罢了，项目release版本居然都不用官方编译工具

因为xcode下载太慢了....
android sdk 则直接被墙

你说算谁的错

---

作者: 鳥侠    时间: 2015-9-19 08:28

posted by wap, platform: Meizu MX4
i dont care

---

作者: counter04    时间: 2015-9-19 10:45

i don't care

---

作者: 国家重点型号    时间: 2015-9-19 13:54

posted by wap, platform: MAC OS X

引用:

原帖由 @Wbird  于 2015-9-19 08:26 发表
因为xcode下载太慢了....
android sdk 则直接被墙

你说算谁的错

企业的错。
不是说我国网络环境没有责任。而是在企业明明知道我国网络环境不佳的现状下，如何对待自己的产品开发。
就说最傻的办法，派个人去外国出差，把最新的工具下载到u盘里带回来，几千块钱机票出不起？
不重视而已。

---

作者: casiosushi    时间: 2015-9-19 15:14

posted by wap, platform: iPhone

引用:

原帖由 @小文  于 2015-9-19 07:02 发表
改iCloud密码，开二步验证

在哪儿改？

---

作者: Wbird    时间: 2015-9-19 19:43

posted by wap, platform: MAC OS X

引用:

原帖由 @国家重点型号  于 2015-9-19 13:54 发表
企业的错。
不是说我国网络环境没有责任。而是在企业明明知道我国网络环境不佳的现状下，如何对待自己的产品开发。
就说最傻的办法，派个人去外国出差，把最新的工具下载到u盘里带回来，几千块钱机票出不起？
不重视而已。

网易，腾讯之类出这种事故确实不应该
但小规模的开发者，除非刻意，不然很难规避这种风险

如果一个没看到这个新闻的程序员, 现在需要一份xcode 6.3.2

1. app store里 xcode 只有7.0以上
2. https://developer.apple.com/downloads/ 里面有老版本下载，但是需要开发者帐号（99刀每年）—— 就算有直接下载地址也不行，必须有开发者帐号并登录。
3. 就算有开发者帐号，下载的速度惨不忍睹，dmg一共2.5g，我从打这段文字的时候开始下载，目前已经下了155k， 再过2天就能完成了！ XD

经历以上种种，面对随手可得的百度云和迅雷，没几个人会较劲一定从官方地址下载了吧

当然仍然可以说这是企业和开发者的错，但至少不能说是100%吧

---

作者: 国家重点型号    时间: 2015-9-19 19:50

posted by wap, platform: SONY Xperia Z2

引用:

原帖由 @Wbird  于 2015-9-19 19:43 发表
网易，腾讯之类出这种事故确实不应该
但小规模的开发者，除非刻意，不然很难规避这种风险

如果一个没看到这个新闻的程序员, 现在需要一份xcode 6.3.2

1. app store里 xcode 只有7.0以上
2. https://developer.apple.com/downloads/ 里面有老版本下载，但是需要开发者帐号（99刀每年）—— 就算有直接下载地址也不行，必须有开发者帐号并登录。
3. 就算有开发者帐号，下载的速度惨不忍睹，dmg一共2.5g，我从打这段文字的时候开始下载，目前已经下了155k， 再过2天就能完成了！ XD

经历以上种种，面对随手可得的百度云和迅雷，没几个人会较劲一定从官方地址下载了吧

当然仍然可以说这是企业和开发者的错，但至少不能说是100%吧

你的观点我认同，但是论据有点问题
1.如果xcode在已购清单中，就可以下载对应当前系统的版本。出这个事之后我马上在10.9的mas里下载了xcode，亲测6.4可下
2.确实需要登陆开发者帐号，但是这个帐号只要注册一下就可以的，不需要买$99的证书
3.dns改8888，我这还凑合，几个小时吧……之前是嫌麻烦直接用迅雷下的官方地址

这事也是给大家提个醒，以后下东西算个checksum。虽然到处都在提示要算，但是之前从来都是嫌麻烦没算过

本帖最后由 国家重点型号 于 2015-9-19 19:51 通过手机版编辑

---

作者: 鬼迷心窍    时间: 2015-9-19 20:02

就是说安卓没事？？

---

作者: sunny5    时间: 2015-9-19 23:34

posted by wap, platform: iPad
免费的东西还要下载盗版 真心不能理解
刚下载了7.0的安装包 公司联通网络花了一小时。。。

---

作者: lobydenk    时间: 2015-9-20 00:05

posted by wap, platform: 小米 红米1S

引用:

原帖由 @Wbird  于 2015-9-19 19:43 发表
网易，腾讯之类出这种事故确实不应该
但小规模的开发者，除非刻意，不然很难规避这种风险

如果一个没看到这个新闻的程序员, 现在需要一份xcode 6.3.2

1. app store里 xcode 只有7.0以上
2. https://developer.apple.com/downloads/ 里面有老版本下载，但是需要开发者帐号（99刀每年）—— 就算有直接下载地址也不行，必须有开发者帐号并登录。
3. 就算有开发者帐号，下载的速度惨不忍睹，dmg一共2.5g，我从打这段文字的时候开始下载，目前已经下了155k， 再过2天就能完成了！ XD

经历以上种种，面对随手可得的百度云和迅雷，没几个人会较劲一定从官方地址下载了吧

当然仍然可以说这是企业和开发者的错，但至少不能说是100%吧

"2  必须有开发谷歌都上不了者账户并登录"
大哥你别搞笑好不好  
我们那就一小公司  但除了自己给mac mini换条内存  其他一切按苹果规则去做
虽然我也算半个果黑  但很明显认同  你不跟苹果规则去玩 就别浪费时间在他的平台上了

当然我更喜欢安卓 谷歌都上不了  别谈编程开发了

---

作者: mimicry    时间: 2015-9-20 10:14

posted by wap, platform: iPhone

引用:

原帖由 @国家重点型号  于 2015-9-19 19:50 发表
你的观点我认同，但是论据有点问题
1.如果xcode在已购清单中，就可以下载对应当前系统的版本。出这个事之后我马上在10.9的mas里下载了xcode，亲测6.4可下
2.确实需要登陆开发者帐号，但是这个帐号只要注册一下就可以的，不需要买$99的证书
3.dns改8888，我这还凑合，几个小时吧……之前是嫌麻烦直接用迅雷下的官方地址

这事也是给大家提个醒，以后下东西算个checksum。虽然到处都在提示要算，但是之前从来都是嫌麻烦没算过

本帖最后由 国家重点型号 于 2015919 19:51 通过手机版编辑

用迅雷下也会中招，就算地址是官方的

---

作者: ff_cactus    时间: 2015-9-20 10:24

posted by wap, platform: iPhone
翻不了墙就别搞软件开发了。

---

作者: 国家重点型号    时间: 2015-9-20 11:05

posted by wap, platform: SONY Xperia Z2

引用:

原帖由 @mimicry  于 2015-9-20 10:14 发表
用迅雷下也会中招，就算地址是官方的

亲测没有中，6.2版本
两个文件大小都不一样，迅雷怎么会匹配？
迅雷下错文件很多都是cdn的锅，这种情况下用不用迅雷也都一样了

---

作者: westlost    时间: 2015-9-20 11:25

搜集的都是没什么用的信息，谈不上危害

---

作者: mimicry    时间: 2015-9-20 14:47

引用:

原帖由 国家重点型号 于 2015-9-20 11:05 发表
posted by wap, platform: SONY Xperia Z2
亲测没有中，6.2版本
两个文件大小都不一样，迅雷怎么会匹配？
迅雷下错文件很多都是cdn的锅，这种情况下用不用迅雷也都一样了

你现在测当然没用，迅雷早就吧出问题的文件下了

---

作者: 国家重点型号    时间: 2015-9-21 01:54

posted by wap, platform: MAC OS X

引用:

原帖由 @mimicry  于 2015-9-20 14:47 发表
你现在测当然没用，迅雷早就吧出问题的文件下了

5月份从官方地址下载的。查过了没毒。
迅雷不用校验码匹配，那离线不全乱套了。

---

欢迎光临 TGFC Lifestyle (http://tgfcer.com/)

Powered by Discuz! 6.0.0