?在外界印象里，封閉的系統(tǒng)生態(tài)和嚴(yán)格的審查制度，使得蘋果設(shè)備似乎有天然防御危機(jī)的屏障。但事實(shí)上，蘋果的安全防御機(jī)制比想象的更加脆弱。

2013年，只用了不到30秒，國(guó)內(nèi)白帽子團(tuán)隊(duì)KeenTeam就遠(yuǎn)程破解了當(dāng)時(shí)蘋果最新的操作系統(tǒng)iOS7.0.3，獲取了該手機(jī)中的照片。2014年紐約舉辦的黑客大會(huì)上，安全專家喬納森·扎德爾斯基展示了如何利用存在于iOS后臺(tái)的“后門”服務(wù)，從iPhone中提取出大量數(shù)據(jù)。
安全領(lǐng)域從業(yè)人員一次次破解蘋果成為展現(xiàn)技術(shù)最好憑證，但對(duì)普通用戶來說，最近一次起廣泛關(guān)注的是9月18日。當(dāng)天，漏洞報(bào)告平臺(tái)烏云網(wǎng)和硅谷安全公司Palo Alto均發(fā)布安全預(yù)警，蘋果應(yīng)用商店上架的網(wǎng)易音樂云等應(yīng)用被注入第三方惡意代碼，用戶信息或早泄露。

iOS開發(fā)者和安全行業(yè)人士開始紛紛查找受影響的App。騰訊安全應(yīng)急響應(yīng)中心日后披露，其曾發(fā)現(xiàn)AppStore中已有76款應(yīng)用被感染。

Twitter用戶@fannheywrd（愛微創(chuàng)想iOS開發(fā)主管）爆料稱，受影響的App已蔓延至火車訂票應(yīng)用12306和中信銀行卡動(dòng)卡空間。一時(shí)間，網(wǎng)絡(luò)流傳出多種安全解讀和提醒，獵豹移動(dòng)安全專家甚至提醒用戶考慮修改密碼和支付方式。

事情的轉(zhuǎn)機(jī)出現(xiàn)在19日上午。一個(gè)名為“XcodeGhostSource”的賬號(hào)在代碼退管網(wǎng)站GitHub發(fā)布“關(guān)于所謂‘XcodeGhost’的澄清”一文中稱，惡意代碼源自個(gè)人實(shí)驗(yàn)，因10天前已關(guān)閉服務(wù)器，并刪除所有數(shù)據(jù)，已消除影響。不過，記者瀏覽發(fā)現(xiàn)，該賬號(hào)為新注冊(cè)賬號(hào)，注冊(cè)時(shí)間為2015年9月19日。

有業(yè)內(nèi)人士告訴記者，該作者并不希望被外界知道其身份。也正因?yàn)榇?，這份澄清聲明的真實(shí)性引發(fā)業(yè)界熱議。不過，這一聲明獲得多個(gè)安全領(lǐng)域?qū)＜肄D(zhuǎn)發(fā)。

然而，危機(jī)尚未解除。有業(yè)內(nèi)人士回憶，Unix之父Ken Thompson在獲得圖靈獎(jiǎng)發(fā)表感言時(shí)曾稱，在編譯Unix代碼的C編輯器里留有“后門”。蘋果iOS操作系統(tǒng)是屬于類Unix操作系統(tǒng)。該業(yè)內(nèi)人士提醒，在對(duì)此次事件分析時(shí)發(fā)現(xiàn)，借助這一漏洞，黑客在獲得遠(yuǎn)程控制權(quán)限后，可以向“中標(biāo)”手機(jī)下發(fā)任意指令。

騰訊安全應(yīng)急響應(yīng)中心稱，9月16日已向蘋果官方同步應(yīng)用被感染情況。

9月19日，蘋果向被感染手機(jī)程序開發(fā)者發(fā)出下架通知，建議手機(jī)程序編寫者下載正版開發(fā)工具，重新編譯相關(guān)程序后上傳至AppStore。

以越獄出名的盤古團(tuán)隊(duì)也在當(dāng)日發(fā)布了一款XcodeGhost檢測(cè)工具。該團(tuán)隊(duì)稱，已檢測(cè)到超過800個(gè)不同版本的應(yīng)用受到感染。不過，該消息未能得到蘋果或第三方證實(shí)。

與以往惡意程序自身攜帶病毒不同，這次安全事件中，黑客第一次把惡意代碼嵌入蘋果應(yīng)用開發(fā)的源頭，欺騙對(duì)象轉(zhuǎn)向開發(fā)者。對(duì)普通用戶而言一旦使用了感染的App，其數(shù)據(jù)將上傳至黑客指定網(wǎng)址，而一旦有App要求用戶輸入賬戶密碼等隱私數(shù)據(jù)，隱藏在背后的灰色產(chǎn)業(yè)暴利相當(dāng)驚人。

烏云平臺(tái)已陸續(xù)曝出多起蘋果系統(tǒng)級(jí)高危漏洞，在此次后門漏洞曝光過后，人們的確應(yīng)當(dāng)意識(shí)到，蘋果并非永遠(yuǎn)安全的手機(jī)。

黑客利用設(shè)備信息可用于遠(yuǎn)程控制

代碼分析結(jié)果顯示，上報(bào)的信息包括App版本、App名稱、本地語言、iOS版本、設(shè)備類型和國(guó)家碼等信息。這些信息雖然不涉及到個(gè)人用戶的隱私，但是可以精準(zhǔn)地對(duì)不同的iOS設(shè)備進(jìn)行區(qū)分。未經(jīng)證實(shí)的前述聲明也表示，其代碼可以獲取的只有App的基本信息。

這意味著，通過上報(bào)信息區(qū)分每一臺(tái)iOS設(shè)備后，黑客可以通過iOS openURL這個(gè)API隨時(shí)隨地給任何人下偽協(xié)議指令。

“這時(shí)候黑客已經(jīng)可以控制你的手機(jī)，達(dá)到他想要做的任何事情。”有安全專家向記者解釋，“瀏覽網(wǎng)頁(yè)、打電話發(fā)短只是最常見的功能，甚至可以對(duì)具備該偽協(xié)議的第三方App進(jìn)行操作。”

不僅如此，黑客還可以控制彈出任何對(duì)話框，對(duì)用戶進(jìn)行誘導(dǎo)進(jìn)行更進(jìn)一步的安全危害。騰訊安全應(yīng)急響應(yīng)中心甚至發(fā)現(xiàn)，利用該惡意代碼的漏洞甚至可以被中間人攻擊。后者是一種黑客常用的古老攻擊手段。

此外，騰訊安全應(yīng)急響應(yīng)中心還發(fā)現(xiàn)，除了已使用的上報(bào)域名地址“icloud-analysis.com”，此次還發(fā)現(xiàn)了其他三個(gè)尚未使用的域名。如果不是及時(shí)遏制，其影響范圍可能進(jìn)一步擴(kuò)大。

開發(fā)者下載官方版本難引出黑產(chǎn)尋利

XcodeGhost被大規(guī)模發(fā)現(xiàn)之前。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心曾在9月14日發(fā)布過預(yù)警通報(bào)。該通報(bào)稱，檢測(cè)中發(fā)現(xiàn)開發(fā)者使用了非蘋果官方渠道的Xcode開發(fā)工具，而該工具中被植入惡意代碼。

事實(shí)上，作為蘋果官方開發(fā)工具，Xcode可以免費(fèi)從應(yīng)用商店下載。那么為什么有開發(fā)者選擇了非官方渠道？

受訪的多數(shù)蘋果開發(fā)者告訴記者，原因只有一個(gè)，就是官方渠道下載速度非常慢。猿題庫(kù)iOS開發(fā)工程師唐巧在社交網(wǎng)絡(luò)上稱，“每次下Xcode花個(gè)幾十分鐘非常正常，這才造成大家都用迅雷和百度網(wǎng)盤這種非官方渠道”。

互聯(lián)網(wǎng)的云存儲(chǔ)服務(wù)只是提供了一個(gè)更為方便的下載渠道。有消息稱，此次安全危機(jī)的始作俑者的網(wǎng)名為“coderfun”，攜帶惡意代碼的Xcode壓縮文件上傳至百度網(wǎng)盤后，將下載鏈接先后發(fā)布到多個(gè)開發(fā)者聚集的社區(qū)、下載站等。騰訊安全應(yīng)急響應(yīng)中心稱，“coderfun”還是用了“Imznet”、“jrl568”等ID傳播下載鏈接。

據(jù)悉，惡意代碼被隱藏在了一個(gè)名為“CoreService.framework”的“系統(tǒng)組件”內(nèi)，而官方下載的安裝包并不存在這個(gè)目錄和“系統(tǒng)組件”。

獵豹移動(dòng)安全專家李鐵軍告訴記者，“黑產(chǎn)”希望通過收集用戶信息，以便廣告投放，后者存在利益空間。由于蘋果限制比較多、審查比較嚴(yán)格，常用模式無法運(yùn)行，因此只能從開發(fā)環(huán)節(jié)突破。盡管是有限的個(gè)人信息，但仍然有商業(yè)價(jià)值。

所謂“黑產(chǎn)”，就是指靠收集個(gè)人信息，出售個(gè)人信息牟利的一群人。

漏洞會(huì)引發(fā)蘋果信任危機(jī)嗎？

事件發(fā)生后，幾家涉事公司紛紛提出了自己的。騰訊選擇了更新版本，并且在發(fā)現(xiàn)bug的第二天，即9月13日已完成替換。9月18日下午15時(shí)，網(wǎng)易云音樂通過社交網(wǎng)絡(luò)發(fā)布公告解釋了發(fā)生危機(jī)的原因。

盡管蘋果最終在19日下架受感染應(yīng)用，但李鐵軍表示，唯一的方法是等待開發(fā)者重新發(fā)布安裝包替換。用戶可以選擇卸載，或者等待升級(jí)更新。

但蘋果在漏洞發(fā)生后一段時(shí)間的失語，讓外界有了更多的猜測(cè)。隨著自媒體的發(fā)酵以及更多的人加入討論，該漏洞被更為深入地解讀。雖然并未沒有直接的證據(jù)指出，該漏洞會(huì)竊取與財(cái)產(chǎn)相關(guān)的個(gè)人賬號(hào)信息，但由于此次“中招”App包括火車訂票軟件和銀行軟件，所以也有分析稱，用戶的財(cái)產(chǎn)安全或受到威脅。

一旦有App要求用戶輸入賬號(hào)密碼，這背后隱藏的灰色暴利將會(huì)相當(dāng)驚人。中國(guó)漏洞庫(kù)專家委員會(huì)蔡晶晶接受中央電視臺(tái)采訪表示，正常用戶訪問的一次點(diǎn)擊廣告的價(jià)值是1至2元人民幣，一個(gè)億用戶量每個(gè)用戶推送一個(gè)廣告，我們知道背后的價(jià)值有多達(dá)，這就是傳統(tǒng)意義上的黑色產(chǎn)業(yè)鏈。

截至發(fā)稿時(shí)，中國(guó)市場(chǎng)并沒有更進(jìn)一步爆發(fā)新的安全事件，也沒有相關(guān)信息和財(cái)產(chǎn)損失的報(bào)告 。多位受訪安全人士判斷，此次危機(jī)主要是對(duì)開發(fā)者發(fā)出了警告，敦促其避免使用來歷不明的開發(fā)工具，相反對(duì)用戶而言，影響并不大。

不過，也有分析人士指出，蘋果消極對(duì)待，也沒有對(duì)開發(fā)者和用戶及時(shí)發(fā)出提醒，或使其聲譽(yù)受損，甚至?xí)斐筛蟮男湃挝C(jī)。