Sunday, September 20

关于微信(其实不只是微信,几乎所有中国开发的苹果app)的恶意病毒 xcodeghost


微信跟其它许多软件一起,iOS版本都发现了问题,因为没有用正版苹果开发软件来开发,所用的盗版开发软件在编译后得到的结果软件偷偷把一些信息传给坏人。在这个安全公司的网站上有当前发 现该问题的所有软件,包括微信、滴滴打车、网易云音乐等。
http://researchcenter.paloaltonetworks.com/2015/09/malware-xcodeghost-infects-39-ios-apps-including-wechat-affecting-hundreds-of-millions-of-users/

新版本的微信声称已经解决了问题。强烈建议大家修改Apple ID密码,和所有相关的密码。我将会把这些软件卸载并修改Apple ID 密码。


一人据称是始作俑者,是他把正版苹果开发软件xcode下载之后加上一些恶意代码,放到百度云等地方,并在许多论坛里放上链接让人下载,使网易、腾讯等公司的程序员都中了招。他宣称只是一个“苦逼iOS开发者的”的"一次错误的实验",并把一段代码公布出来。

我读了一下那段代码,没有什么恶意攻击的地方,只是简单地收集一些很大众的信息并上传到一个我没办法查到有用信息的网站。

首先我怀疑这段代码是不是真的、所有的代码;其次,可能有别的黑客把这段代码加工之后做一个新的xcode,据知现在找到的恶意代码起码有三个不同版本;然后,仅就这段代码而言,编码很老练,没有什么废话;风格很成熟,不是新手所为;再有,那个网站隐藏自己很老到,所牵涉到的注册商等都在美国;它也曾在另一个iOS病毒KeyRaider里使用;而且,在各论坛里发帖,把自己的百度云下载地址拉到搜索的前面,这也很需要搜索引擎优化技术,不是普通程序员的风格。连迅雷下载拿到的都是中毒的。

联想到在国内下载正版苹果开发软件xcode很慢、且不停断线,以至于实际上不可能下载成功,我有理由怀疑这是国家行为:由网络长城来挡住正版的下载,然后用注入了恶意代码的版本来取代正版。

5年前Symantec就首先通过分析代码,提出在伊朗核设施里找到的超级病毒Stuxnet是美国、以色列、德国合作的成果。可见国家层面的恶意代码是事实存在的,并非怀疑论者的臆测。

---附: 一个记录
http://blog.jobbole.com/91646/

Labels: