迷雾重重：XcodeGhost究竟是恶意病毒还是“无害的实验”？

文/FreeBuf 编辑部雪碧、明明知道

随着 XcodeGhost 事件的持续发酵，安全圈在这个周末显得尤为热闹，各路消息、分析、猜测甚至“阴谋论”纷至沓来。技术调查、涉事厂商名单、补救措施，甚至对事件始作俑者展 开了人肉搜索。而今天凌晨 XcodeGhost 作者的道歉声明更是将事件推向高潮，大多数技术圈人士不约而同发出了责问：尽管你开源了，但真是“无害的实验”？号称影响了超过 1 亿用户（保守估计）的后门鬼魅，一句“苦逼 iOS 开发者的意外发现”就可以推脱？

尽管作者的“澄清”微博将整起事件轻描淡写，结尾还不忘祝周末愉快，祝福虽好，但这个周末注定会有技术人们愉快不起来（例如盘古移动团队的兄弟 们可是一宿未眠啊）。随着时间的推进，事件最终会走向何方，我们暂且不得而知。但通过对 XcodeGhost 事件整体的梳理后，我们却不难从中看到此次事件的影响力之大，波及面之广，以及待解的谜团是如此之多。

事件回顾

Xcode 是苹果 APP 开发工具，XcodeGhost 作者将恶意代码植入到 Xcode 安装包中并发布到了网上。不同的开发者出于一些原因没有从官网下载 Xcode 而是下载了含有恶意代码 Xcode，于是编译出的 APP 包含恶意代码并最终走入了用户手中。

经多方研究发现，感染的 APP 会在程序开启和关闭时自动上传使用者的数据，若攻击者有心对此加以利用也可以轻松控制用户的设备，进行钓鱼攻击以及中间人攻击。

腾讯应急响应中心（TSRC）最先发现了这一问题，并在 9 月 11 日及时发布了微信更新。随着 CNCERT 发布预警公告，这个魅影逐渐显露出来。

9 月 16 日，TSRC 发现 AppStore 上的 TOP5000 应用有 76 款被感染；

9 月 17 日，国外安全公司 Palo Alto 发布第一版分析报告，随后阿里移动安全也发布了分析报告。

9 月 19 日凌晨4:40，自称 XcodeGhost 作者现身微博，发文称 XcodeGhost 是“源于自己的实验，没有任何威胁性行为”，收集的是 app 信息：“APP 版本、APP 名称、本地语言、iOS 版本、设备类型、国家码等设备信息”并公布了源代码。

恶意影响堪称 iOS 应用史上之最大

目前，根据盘古团队最新发布的数据显示，已检测到超过 800 个不同版本的应用感染了 XcodeGhost 病毒。

之前公布的受影响 APP（部分），括号内为版本号：

微信（6.2.5）、网易云音乐（2.8.3）、滴滴出行（4.0.0.6-4.0.0.0）、滴滴打车（3.9.7.1 – 3.9.7）、铁路 12306（4.5）、51 卡保险箱（5.0.1）、中信银行动卡空间（3.3.12）、中国联通手机营业厅（3.2）、高德地图（7.3.8）、简书（2.9.1）、开眼 （1.8.0）、Lifesmart（1.0.44）、网易公开课（4.2.8）、喜马拉雅（4.3.8）、口袋记账（1.6.0）、豆瓣阅读、 CamScanner、CamCard、SegmentFault（2.8）、炒股公开课、股市热点、新三板、滴滴司机、 OPlayer（2.1.05）......

盘古目前仍在检测更多的应用， 紧急加班开发了一款病毒检测工具， 下载地址 x.pangu.io。苹果用户可以根据安装提示自行下载检测工具，迅速找到受影响 APP。

究竟是谁挥刀斩苹果

在作者发言“澄清”之前一个多小时前，微博上曝出了 XcodeGhost 作者的个人信息（截图来自微博用户、360 安全团队@矮穷龊-陆羽）：

后来便是作者姗姗来迟的澄清：

“愿谣言止于真相，所谓的‘XcodeGhost’，以前是一次错误的实验，以后只是彻底死亡的代码而已。需要强调的是，XcodeGhost 不会影响任何 App 的使用，更不会获取隐私数据，仅仅是一段已经死亡的代码。”

当然，360 安全团队迅速提出质疑，“你的解释很无力，一切都太蓄意，时间也对不上，隐藏自己，变换身份的行为也充分反驳了你的解…”。

接下来，腾讯安全团队也称：通过百度搜索“xcode”出来的页面，除了指向苹果 AppStore 的那几个链接，其余的都是通过各种 id（除了 coderfun，还有使用了很多 id，如
lmznet、jrl568 等）在各种开发社区、人气社区、下载站发帖，最终全链到了不同 id 的百度云盘上。为了验证，团队小伙伴们下载了近 20 个各版本
的 xcode 安装包，发现居然无一例外的都被植入了恶意的 CoreServices.framework，可见投放这些帖子的黑客对 SEO 也有相当的了解。

安全圈知名专家 tombkeeper 不仅发布了 XcodeGhost 作者的消息全文，还评价道：

“事闹大了，就会变成公安部督办案件，就几乎一定能破案，几乎一定能找到人。这时候无论自首还是跑路都比发‘澄清’有意义得多。”

鬼影：XcodeGhost 的原型？

其实早在今年三月，外媒披露的报道中已经提及 Xcode 后门：

根据斯诺登近期爆料的文件显示，CIA 在美国桑迪亚（Sandia）国家实验室开发了一款流氓版 Xcode。这个版本的 Xcode 会在苹果开发者的电脑中植入后门，窃取他们的个人开发密钥。

巧合的是，流传的资料显示作者正是从今年三月份开始将 Ghost 传到网上。因此有网友戏称：XcodeGhost 作者是 CIA（hou zi）派(qing)来(lai)的(de)间(jiu)谍(bing)吗(ma)？

而与此观点相对应的，ZD 至顶网安全频道今天评论称，“担忧是必要的，但还不至于引起恐慌”。文中以目前的公开信息来看，分析出：个人用户并不用担心隐私数据被泄露。多家安全机构分析显示，受感染的 APP 上报的信息仅是一些设备信息。

“当然，一个不能被验明正身的所谓澄清声明也不足以为信，最终结论还有待相关组织和机构的调查。”

孤军作战还是团队蓄谋？

黎明破晓后是电闪雷鸣－XcodeGhost 事件之谜 一文中，安全专家 RAyH4c 对 XcodeGhost 作者的声明质疑道：

“这个声明有条有理，公关味之浓到呛鼻，还配上了源代码为自己澄清，我想说如果这件事是哥们你一个人做的，那你确实是天才，因为你以一己之力让全世界用户量最大的 app 感染上了你的病毒，你将载入史册。你觉得这样的剧情，背后没有团队，大伙信么？

Palo Alto Networks 的报告给出了 XcodeGhost 的三个版本的分析，三个域名，同时还指出了盗取 apple id 的 app 木马也感染了这个病毒。那么我想问一下，另外两个版本的实验在哪，做了些什么事？！那些 app 本身就是个木马，还感染了病毒，真是耐人寻味。”

对苹果用户的安全建议

盘古团队成员告诉 FreeBuf：目前形势依然严峻，他们还在加紧新版本检测工具的开发。对于恶意代码样本分析网上已经出现得很全了，不过又出现了变种。尽管 “XcodeGhost 作者”已经将代码开源，但是如果有人针对受感染的 App 进行中间人劫持等攻击手段，还是可以执行的。

因此，苹果用户万万不可掉以轻心。假设这是一场“实验”，那也已经步入了危险的境地。

首先，更换 Apple ID 密码。然后，检测到受影响的 App 如果有新版本发布，就尽量更新到最新，然后再次扫描。如果还有问题，则建议卸载，等待官方更新。

目前，苹果公司还未对此作出回应，但是已有不少受影响 APP 被从 App Store 下架。

苹果公司一直以自家封闭的 iOS 系统安全性和严格准入的 APP Store 市场引以为傲，Xcode 后门不仅使 iOS 安全面临种种质疑，也让苹果被尴尬地打脸。今年陆续被曝出的 iOS 系统高危漏洞，此次后门事件的雪上加霜，也许人们该意识到——苹果并不是“永远安全的手机系统”。

另一种声音：“后门事件”炒的有点过火了

不过网络上也出现了另一种声音，有网友称：“如果 XcodeGhost 作者所说的属实（只收集 APP 信息），一个不具备威胁性质的代码怎么就算个后门了，又被扣上一个用户隐私被威胁的帽子。你自己看看 PC 时代上面有多少数据正在被无声的上传中，更何况手机时代。要知道，安全发展已经停滞发展很久了。这就是一个无厘头的乌龙。尤其看到这句我就想笑：‘恶意程 序的主要来源：百度网盘、迅雷等第三方平台。’”

注：根据腾讯的分析报告，黑客可以在受感染的 iPhone 中弹出内容由服务器控制的对话框窗口、在受感染的 iPhone 中弹出内容由服务器控制的对话框窗口。这两点足以说明该程序具有窃密性质，因此 FreeBuf 对上述说法存保留意见。

本文作者：FreeBuf 编辑部雪碧、明明知道，转载须注明来自 FreeBuf 黑客与极客（FreeBuf.COM）