XcodeGhost风波,为中国大陆地区App Store中的部分iOS应用程序被称为“XCodeGhost”的第三方恶意代码注入,而产生了一系列的问题,包括可能的隐私泄漏、广告点击。
因为属于开发者端的程序污染,所以即便是未越狱的iOS用户从苹果官方App Store下载应用也可能存在风险。
根据斯诺登(Edward Snowden)揭露文件,该手法于2012年,美国中情局(CIA)已有相关能力,即透过伪冒Xcode,用来监控所有使用该伪冒开发工具所开发的App及后续的修改版本,而这套伪冒开发工具所开发的App,可以在苹果公司的官方App Store上架并贩售,且不会被任何人员发觉有异常之处。
Xcode为苹果公司所发行、供程序员开发OS X、iOS、watchOS与tvOS应用程序的集成开发环境(IDE),在Mac App Store中免费提供。由于网络审查导致中国大陆用户访问Mac App Store有连接困难,部分开发者出于方便选择了国内第三方渠道下载(如百度网盘、迅雷离线等)或者从社交平台查找获得开发程序,由此带来了安全隐患。
而这部分Xcode的框架库中被加入了被称为“XcodeGhost”的框架库,导致其编译出来的App都带有后门代码,会在最终客户端运行时将隐私信息提交给第三方。
根据已经披露的文档,腾讯安全应急响应中心在跟踪某app的bug时发现异常流量,解析后上报了中国国家互联网应急中心(CNCERT),后者随即在2015年9月14日发布了预警消息。之后也有其他国家的信息安全组织跟进调查。
在2015年9月17日左右,新浪微博用户“@唐巧_boy”发布微博声称Xcode有可能被第三方代码注入,而在社交平台上引起轩然大波。乌云 (网站)后续发布相关的知识库文章。
2015年9月19日凌晨4时许,新浪微博上出现一名“XcodeGhost-Author”的新用户发布一条微博消息,声称XcodeGhost只是一个实验性质项目;随后该项目的GitHub页面也刊载了一致的声明。
苹果方面虽然事前缺乏对程序的安全审核,但是事件发生后火速对感染恶意代码的app进行了下架。
部分大陆地区开发商的App因此受到影响,因此对其受污染的App使用正规渠道下载的Xcode进行编译后重新上线。
受到影响的app程序众多,据称受感染的app多达76个,而记载着app名单的截图应该来自“360安全播报平台”,其将在2015年9月19日更新的消息中将受XcodeGhost感染的app数量上调为344款;而截至2015年9月20日下午的通报,受感染app数量为1078款。
知名度较高的部分app如:微信、网易云音乐、滴滴打车、高德地图、12306、同花顺、中信银行动卡空间、简书等。涉及包括即时通讯软件、地图应用甚至金融服务产品。
苹果公司对此事进行了公开声明,并对于部分感染app进行了下架处理;从2015年9月20日开始,部分下架程序重新编译后上架,但各厂商对此态度不同,微信的版本更新中并未说明原因,而网易云音乐则注明为“修复XcodeGhost问题”。