每日经济新闻

    76款热门iOS应用被植入XCodeGhost代码 教你一秒分辨你的手机遭殃了吗?(果粉必看)

    每日经济新闻 2015-09-22 00:15

    一向号称系统安全程度最高的苹果这次也未能幸免,多款iOS应用因被植入XCodeGhost代码而有信息泄露风险。万幸的是,尚未出现隐私信息泄露。

    每经编辑 每经记者 赵娜    

     

    每经记者 赵娜

    一向号称系统安全程度最高的苹果这次也未能幸免,多款iOS应用因被植入这个代码而有信息泄露风险。万幸的是,尚未出现隐私信息泄露。

    消息一出,果粉们都不淡定了,自己的手机到底有没有被代码“侵袭”?又该如何自测?《每日经济新闻》记者也特此做了以下的梳理,希望能对大家有所帮助。

    猎豹移动安全专家李铁军接受《每日经济新闻》记者采访时表示,此事件的解决需要等待相应的开发商更新应用。用户如觉得不保险,可以把相关应用暂时卸载掉。对iCloud帐号的潜在风险,可修改密码或是开启iCloud双重验证。

    想自测手中苹果设备的应用是否“中招”?日常使用有哪些安全注意事项?Android用户不能从Google Play官方渠道下载应用,又该注意什么?“扫盲”开始!

    作为iOS用户,你需要知道:

    1.装了有XCodeGhost代码的应用,有啥影响?

    根据乌云漏洞报告平台(以下简称乌云)对病毒样本的分析,这些泄露信息其实并不涉及太多的隐私问题。但是,病毒拥有更多的权限,它们在iPhone/iPad上弹出钓鱼网站页面,可能骗取iCloud帐号密码,或者其他关键信息。

    李铁军告诉记者,大家分析的结果是认为代码存在潜在风险,但包括iCloud帐号信息在内,只是根据原理推测黑客能获取,目前并没有充分的证据表明隐私信息被获取。

    2.怎么自测手中苹果设备的应用是否“中招”? 需要卸载or更新?

    App Store上的TOP5000应用中,有76款被植入XCodeGhost代码。

    微信、高德地图、滴滴出行、网易云音乐等用户量较大的知名APP,以及12306、中信银行动卡空间、南方航空等涉及民生的APP,均未幸免。

    目前受影响的主流APP及其对应版本如图:(来自腾讯雷霆行动公号)

         

    看到这儿别着急,《每日经济新闻》记者梳理发现,包括豌豆荚旗下开眼、网易云音乐、滴滴出行、微信、南方航空等多款APP,已通过关闭感染源服务器,或向苹果App Store提交新版APP等方式做出修复,并利用微博等渠道通告用户及时更新。

    但要注意,已作出处理的相关APP厂商里,只有部分在App Store的版本更新介绍中直接标明了已修复XCodeGhost代码问题等字样。一句话,看到“中招”的APP名,先留意对应的版本号,厂商已修复的及时更新应用就好。对待厂商反应迟钝的,可以暂时卸载应用一段时间。

    苹果App Store已经采取行动,做法是把被感染XcodeGhost的应用下架,要求开发者提交重新编译的应用才能上架。

    要还不放心,以“越狱”闻名的盘古团队开发了一款XcodeGhost检测工具,有需要的同学请微博搜索@PanguTeam,自行获取检测工具。

    汇总下,对此事件及日常使用,iOS用户如何“自保”?

    今天(9月21日),腾讯雷霆行动建议用户:

    1、基于安全的考虑,最好对涉及到的密码、支付方式等进行修改;

    2、不要越狱,只从官方市场下载软件,当有人试图套取你的iCloud帐户密码或者其他重要帐户密码、手机验证码时,必须谨慎对待;

    3、对于“中招”软件,稳妥起见暂时不要打开,静待更新。目前微信等已经进行了修复并将版本修复,用户升级到新版即可;

    4、为确保安全,用户也可以选择暂时卸载那些受影响软件。保险起见,修改Apple ID密码,iCloud帐户密码。

    作为有着强大好奇心和求知欲的iOS用户,你或许要问:恶意代码为何能被大批量植入进APP?

    猎豹移动安全实验室指出,程序员使用Xcode非官方版本,可能有两个原因:官方渠道下载缓慢,或者开发者使用了黑苹果(盗版苹果系统)开发。

    9月19日早间,自称写入XcodeGhost代码的作者以 @XcodeGhost-Author(新注册帐号)的身份,在微博发表致歉声明并公开源码,称这只是一个实验性项目,没有任何包含威胁性的行为。

    腾讯科技援引业内人士说法称,作者并不希望被外界知道其身份。这份澄清声明的真实性引发业界热议,但也获得多个安全领域专家转发。

    另有观点称,这背后或存在着黑色产业链(以下简称黑产)团队,涉及多个平台。

    XCodeGhost事件暴露的是,辛苦的程序猿们图了一时方便。但你要知道,程序猿们也是出于被GFW(“防火长城”)阻隔的影响。苹果开发软件官网下载速度慢,而Android开发包不“翻墙”就无法从官网下载。这次之后,广大程序猿估计会多加注意了。

    如果有看到此处的Android用户,你们没有被遗忘!

    “彩蛋(简易)”安全指南在此:

    对开放性更强的Android系统,受众所周知的原因影响,坚持从官方商店Google Play下载应用的国内用户是小众的,主流用户多从第三方渠道获取应用。

    如此,请从腾讯应用宝、百度手机助手、豌豆荚等正规Android市场下载APP,抛弃来路不明的安装源。然后,下载应用前请别忽视软件描述和权限,多看下是否有诸如官方版、安全、无广告等字样。对于认为申请可疑权限过多的APP,是不是考虑不装或寻找同类替代品?

    好消息是,Android M(6.0)系统将增加新的管理权限控制,新系统将实现直接让用户只同意勾选应用的部分权限,并在之后随时做出更改。此外,管理应用权限和结束进程这些功能,现在通过第三方APP也能实现。

     

    版权声明

    1本文为《每日经济新闻》原创作品。

    2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。

    上一篇

    陪着主席出访的不只有BAT 还有一位山东民营企业家

    下一篇

    工信部评估虚拟运营商试点效果 电信领域混改或提速


    分享成功
    每日经济新闻客户端
    一款点开就不想离开的财经APP 免费下载体验