网易云音乐等知名App被植入恶意代码 你中招了吗？

9月18日，安全漏洞报告平台乌云发布报告称，有病毒开发者在给苹果手机的开发工具 Xcode 内写入了一些病毒代码，这导致了 App Store 里12306、网易云音乐、高德地图等常用的 App 中招。

Xcode 是苹果的官方开发工具。乌云网称，开发者是用了非官方渠道下载的 Xcode ，导致所开发的应用被注入了第三方代码，这会让被感染的 App 会主动向一个网站上传应用和系统的基本信息。

微博网友图拉鼎对多个App进行了测试，已中招的有网易云音乐、滴滴出行、12306、中国联通手机营业厅、高德地图、简书、豌豆荚、网易公开课、下厨房、51卡保险箱、同花顺、中信银行动卡空间等。

最新的进展是，目前感染制作者的服务器已关闭，已经不构成实质上的信息泄露。不过乌云网上有评论指出，该恶意代码除了会收集 App 使用信息外还可能会在 App 里以弹窗的形式骗取用户的 iCloud 或其他密码。

网易云音乐随后在微博发布公告称，“受非官方渠道开发工具 XcodeGhost 感染影响，iPhone 端部分应用会上传产品自身的部分基本信息(安装时间，应用ID，应用名称，系统版本，语言，国家)。此次感染涉及信息皆为产品的系统信息，无法调取和泄漏用户的个人信息。目前感染源制作者的服务器已经关闭，不会再产生任何威胁”。

搜狗地图官方也表示并未感染。截止发稿，其他 App 暂无回应。

以下为乌云网安全预警报告：

不可信下载源 Xcode 包含恶意代码预警(已有企业APP发布受到影响)

9月17日上午，微博用户 @JoeyBlue_ 曝光称，有开发者用了非官方渠道下载的 Xcode 编译出来的应用被注入了第三方的代码，会向一个网站上传数据。目前已知两个知名应用被注入。

乌云知识库作者蒸米对注入的病毒样本“XcodeGhost“进行分析，确认了上述说法。经分析，该病毒会收集应用和系统的基本信息，包括时间、bundle id(包名)、应用名称、系统版本、语言、国家等，并上传到init.icloud-analysis.com(该域名为病毒作者申请，用于收集数据信息)。

“乌云-漏洞报告平台”微博截屏

快来看看你有这些 App 吗？

对用户有什么影响？

目前来看，在 Xcode 中莫名加入的这段代码并没有什么恶意，只是收集部分数据，但是不得不防的是，未来很可能出现更加带有攻击性的病毒注入 Xcode，那么对于用户手机安全，这其中存在巨大的隐患。

XcodeGhost 创新在哪？

与以往的病毒嵌入思路不同，XcodeGhost 直接把病毒代码嵌入了开发工具源头，这种另类的传播方式直接让其在初期的传播广度上获得了非常好的效果，网易云音乐等热度 APP 中弹就是很好的证明。

为什么要从第三方下载 Xcode？

归根结底的原因还是在于国内 App Store 连接速度太慢，许多程序员为了提高效率，方便下载，会直接从各大论坛和网盘上找第三方资源，这就给一些不良少年提供了作案机会的可能性。

为什么影响巨大？

根据国外网站paloalto的分析，coderfun 所释放的Xcode dmg文件先是被广泛发布到了Douban, SwiftMi, CocoaChina, OSChina这几个论坛网站，然后又再百度云出现了大量下载文件。

不仅如此，还成功感染了迅雷的离线服务器，也就是说，你常用下载软件是迅雷的话，输入官网的地址下载下来的 dmg 仍然有可能是被修改过的。

在这我们不得不佩服这个骇客四两拨千斤的能力。

该如何应对？

目前的许多网友提供了一些针对性的解决方案：

1. 从官方渠道下载 Xcode

2. 程序员开发应该更加严谨的使用经过校检的 Xcode 开发工具

3. 苹果改善官方 APP Store 连接速度

4. 官方 APP Store 改进 APP 审核机制

对用户的建议：

1. 立即卸载 中毒 app

2. 立即修改 app store 密码

3. 如果在中毒 app 内使用过信用卡支付，立即废弃并更换信用卡。

综合来源：新浪科技、cnbeta、新浪微博