發(fā)生在蘋(píng)果iOS平臺(tái)的XCodeGhost木馬侵入事件再次發(fā)酵。據(jù)美國(guó)媒體23日?qǐng)?bào)道，美國(guó)安全研究人員最新公布，此次事件中受感染的應(yīng)用遠(yuǎn)比此前所報(bào)道的多，并且事發(fā)時(shí)間可以追溯到今年4月。

“XCodeGhost的擴(kuò)散范圍遠(yuǎn)比起初預(yù)計(jì)的大，”美國(guó)移動(dòng)應(yīng)用安全公司Appthority的安全人員當(dāng)?shù)貢r(shí)間周一公開(kāi)發(fā)文表示， “我們已經(jīng)從數(shù)據(jù)庫(kù)中確認(rèn)了476個(gè)被感染的app，這比最初預(yù)計(jì)的40個(gè)多太多。”

根據(jù)Appthority公開(kāi)的一張圖標(biāo)顯示，感染最早暴發(fā)于今年4月，感染數(shù)量在隨后的5個(gè)月持續(xù)增長(zhǎng)。目前最讓人們感到驚訝的就是，如此大量的應(yīng)用竟然能夠突破蘋(píng)果一直以來(lái)引以為傲的安全防線(xiàn)，并且持續(xù)感染時(shí)間跨度長(zhǎng)達(dá)數(shù)月。同時(shí)，另一家安全公司FireEye的研究人員甚至發(fā)文稱(chēng)，已經(jīng)找到4000個(gè)被XCodeGhost感染的iOS應(yīng)用。不過(guò)，兩家公司均沒(méi)有公布受感染應(yīng)用的名單，也沒(méi)有指明這些應(yīng)用是否主要集中在中文用戶(hù)。

不過(guò)，這個(gè)壞消息發(fā)布的同時(shí)，安全人員也帶來(lái)了好消息：受感染的應(yīng)用更多和惡意廣告軟件相關(guān)，而非安全入侵惡意軟件。

Appthority指出，此次XCodeGhost對(duì)用戶(hù)設(shè)備和企業(yè)安全的實(shí)際打擊很低，至少現(xiàn)在沒(méi)有成為直接的安全威脅。“根據(jù)我們對(duì)感染應(yīng)用的相關(guān)行為進(jìn)行風(fēng)險(xiǎn)分析，我們認(rèn)為把XCodeGhost歸類(lèi)為惡意廣告軟件更合適。理論上來(lái)說(shuō)，在該代碼中加入有害行為信息并不難，但從目前我們的分析來(lái)看，XCodeGhost的作者選擇了不植入這類(lèi)有害行為。”

其研究人員表示，目前并沒(méi)有證據(jù)顯示XCodeGhost感染的應(yīng)用有跟蹤用戶(hù)并泄露其iClond或其他服務(wù)密碼等信息的能力。對(duì)被感染應(yīng)用的進(jìn)行分析后發(fā)現(xiàn)，它們主要有幾種能力：向服務(wù)器發(fā)送請(qǐng)求；請(qǐng)求中包含了所有設(shè)備的識(shí)別碼（類(lèi)似典型的跟蹤體系）；接收到的應(yīng)答能激發(fā)不同的行動(dòng)，比如利用SKStoreProductViewControllerDelegate協(xié)議在某個(gè)app中顯示AppStore并誘導(dǎo)下載（正如我在此前文章中所說(shuō)，制造這個(gè)特洛伊的人，目的之一就是掙錢(qián)，但偷手機(jī)用戶(hù)的錢(qián)很難，最好的辦法就是幫人推app來(lái)變現(xiàn)）、彈出警告框或彈出Appstore、打開(kāi)URL、一定時(shí)間內(nèi)維持休眠狀態(tài)。

此外，研究人員稱(chēng)，和目前多數(shù)報(bào)道中信息不符的是，該襲擊體系本身并沒(méi)有包含顯示登錄彈窗或任何能發(fā)出釣魚(yú)警告的編碼。唯一能發(fā)起釣魚(yú)襲擊的方法，就是把應(yīng)答發(fā)送到并打開(kāi)一個(gè)指向惡意網(wǎng)站的URL。就是說(shuō)，那段加載編譯進(jìn)去的源碼根本沒(méi)法實(shí)現(xiàn)監(jiān)控手機(jī)遠(yuǎn)程拿你手機(jī)打電話(huà)等等，它能獲取的就是部分版本的app裝載了他的代碼而已，然后根據(jù)這個(gè)app的特性推送給你廣告而已。

蘋(píng)果方面也在其官方博客中指出，目前沒(méi)有證據(jù)顯示任何app被惡意使用，基于此，安全專(zhuān)家在接受美國(guó)媒體采訪(fǎng)時(shí)認(rèn)為，XCodeGhost并沒(méi)有很多用戶(hù)所擔(dān)心的那么可怕。

盡管尚未造成嚴(yán)重后果，Appthority也提醒，此次事件也證明了用新代碼去感染多個(gè)AppStrore的應(yīng)用以及逾越其審查流程已經(jīng)成為可能。