关于造成 iOS 大危机的 XcodeGhost 病毒,这里有三点更新

公司

2015-09-19 09:07

昨天爆发的开发者使用第三方渠道下载的受感染的 Xcode 编译器开发应用,致使应用携带 XcodeGhost 病毒的事件已经持续发酵,除了昨天的报道之外,到现在为止,又有进一步发展,总结起来就是以下三点更新:

【更新一】中招应用在不断扩大中,360 网络攻防实验室在跟进此事,不断更新名单,除了昨天已经确认的之外,还有按照版本号定位的百度音乐(5.2.7.3 – 5.2.7 )、穷游(6.4.1 – 6.4 )、南方航空(2.6.5.0730 –   2.6.5)、天涯社区(2.1)、微信(6.2.5 )等等应用,查看名单更新请点击此处(或前往 360 网络攻防实验室页面),目前可以确认的应用及具体版本号如下:

  • 开眼 1.8.0
  • 联通手机营业厅 3.2
  • 妈妈圈 5.3.0
  • 南方航空 2.6.5.0730 – 2.6.5
  • 南京银行 3.6 – 3.0.4
  • 逆轉三國 5.80.5 – 5.80
  • 穷游 6.4.1
  • 穷游 6.4.1 – 6.4
  • 三国名将 4.5.0.1 – 4.5.1
  • 天使房贷 5.3.0.2 – 5.3.0
  • 天涯社区 5.1.0
  • 铁路 12306 2.1
  • 同花顺 9.60.01
  • 同花顺 9.26.03
  • 图钉 7.7.2
  • 网易公开课 4.2.8
  • 网易云音乐 2.8.3
  • 网易云音乐 2.8.1
  • 微信 6.2.5
  • 我叫 MT 4.6.2
  • 我叫 MT2 1.8.5
  • 下厨房 4.3.2
  • 下厨房 4.3.1
  • 造梦西游 OL 4.6.0
  • 诊疗助手 7.2.3
  • 自由之战 1.0.9
  • 卷皮 3.3.1
  • 简书 2.9.1
  • 股票雷达 5.6.1 – 5.6
  • 高德地图 7.3.8.1040 – 7.3.8
  • 高德地图 7.3.8.2037
  • 夫妻床头话 2.0.1
  • 动卡空间 3.4.4.1 – 3.4.4
  • 电话归属地助手 3.6.3
  • 滴滴打车 3.9.7.1 – 3.9.7
  • 滴滴出行 4.0.0
  • 炒股公开课 3.10.02 – 3.10.01
  • 百度音乐 5.2.7.3 – 5.2.7
  • YaYa 药师 1.1.1
  • YaYa 6.4.3 – 6.4
  • WO + 创富 2.0.6 – 2.0.4
  • WallpaperFlip 1.8
  • VGO 视信 1.6.0
  • UME 电影票 2.9.4
  • UA 电影票 2.9.2
  • Theme 2.4 – 2.4
  • Theme 2.4.2 – 2.4
  • Phone+ 3.3.6
  • Perfect365 4.6.16
  • OPlayer Lite 21051 – 2105
  • MTP 管理微学 1.0.0 – 2.0.1
  • Mail Attach 2.3.2 – 2.3
  • Jewels Quest 2 3.39
  • How Old Do I Look? How Old Am I? -Face Age Camera 3.6.7
  • H3C 易查通 2.3 – 2.2
  • Digit God 2.0.4 – 2.0
  • Cute CUT 1.7
  • CarrotFantasy 1.7.0.1 – 1.7.0
  • CamCard 6.3.2.9095 – 6.3.2
  • Albums 2.9.2
  • AA 记账 1.8.7 – 1.8
  • 51 卡保险箱 5.0.1
  • 2345 浏览器 4.0.1

除了上面这些不幸被感染的 app 外,也有一些千万量级的超级 app 未受到影响。比如新闻客户端 “今日头条” 就在官方声明中表示,使用的是苹果官方 Xcode 开发工具,没有被注入恶意代码。估计随着事件进一步发酵,会有越来越多的应用开发者做出回应,确认 app 的安全与否。

【更新二】作为下载渠道方,迅雷也发出公告:迅雷服务器并未受到感染,并第一时间安排工程师进行检测。工程师测试了乌云网原文中提到的 Xcode6.4 和 7.0 两个版本的下载,检查了索引服务器中的文件校验信息,并对比了离线服务器上的文件,结果都与苹果官方下载地址的文件信息一致。也就是说,官方链接的 Xcode 经迅雷下载不会被植入恶意代码。

【更新三】经过 Saic 的研究,推断 XcodeGhost 的攻击模式是:在用户安装了目标应用后,木马会向服务器发送用户数据。服务器根据需要返回模拟弹窗。弹窗可以是提示支付失败,请到目标地址付款,也可以是某个软件的企业安装包。用户被诱导安装未经审核的安装包后,程序可以调用系统的私有 API,实现进一步的攻击目的。

 

题图系《末日崩塌》剧照

后评论

评论在审核通过后将对所有人可见

正在加载中

在命运的塑料大棚里,每棵被喷了过多农药的白菜心中,都曾经有一个成为无公害有机蔬菜的梦想。

本篇来自栏目

解锁订阅模式,获得更多专属优质内容