微信躺著也中槍,iOS 版本遭植入木馬

許多台灣人因為經商頻繁或朋友往來中國之故,在手機上安裝許多中國的手機應用程式或服務。除了 Android 平台手機品牌小米、華為等,通常許多台商最信賴的就是 Apple 的 iOS 裝置,如 iPhone 或 iPad 等。這樣的信賴是建立在 AppStore 審查的應用程式,通常保證了一定的穩定性與安全性。但在本週,這種信賴恐怕將產生了變化。

知名的開放資訊安全中文漏洞報告平台 Wooyun 在 9 月 17 日披露了部分 iOS Apps 可能存在安全性問題,這些 Apps 會在使用時自動向特定網站上傳資訊。這些 Apps 都是以受到第三方原始碼污染的 Apple 開發工具 Xcode 所編譯,因此編譯完成的 Apps 的包裝裡帶有(通常稱做被注入木馬)第三方放入的特定資訊。進而產生上述的安全問題。

圖說明

這個問題可能主要源自於中國境內目前的「實體網路管制」。雖然 Apple 的開發工具 Xcode 是幾近免費提供給所有的開發者,其要求 Apple 的開發者需要具備可以運作 Mac OSX 的電腦(也就是 Apple 的 PC 或 Notebook),如果要公開發佈 Apps,則需負擔每年約 3000 元新台幣的開發者帳號,但因許多中國開發者在連往位於美國的 Apple 伺服器下載 Xcode 時,會受到中國目前實體網路存在有俗稱為網路長城的過濾機制干擾,導致下載速度十分緩慢,甚至容易斷線。

這些開發者可能就會選擇其他開發者事前已經下載完畢,並儲存在中國境內流行的雲儲存服務,例如百度雲的網路空間上。這些轉向下載的行為讓木馬開發者有了動手腳的空間,將經過第三方原始碼污染的 Xcode 放在百度雲上,再透過中文的開發者論壇或微博的傳散,將有問題的開發者工具 Xcodeghost 散佈給中國眾多的 Apple 開發者,按照 Wooyun 知識庫所稱,這可能是在許多中文 iOS 論壇與微博中,網名 codefun 的個人或團體所為。

圖說明
(圖說:這次的XcodeGhost事件,主要可能因為中國網路長城的管制造成開發者誤用了非官方的污染開發套件)

開發者使用 XcodeGhost 進行開發並編譯 apps 時,apps 會自動包含一段程式碼,取得 iPhone 或 Apps 的一些基本資料,包含時間、Apps名稱、Apps的bundle ID(Apps程式包ID)、Apps名稱、作業系統版本、手機型號、手機版本別、系統語言、國家等,並將上述這些欄位資料上傳至 init.icloud-analysis.com,這是放毒者所註冊用於蒐集上述資料的網址,目前該站與伺服器已經關閉,並且很難查出相關的註冊資訊。

這些蒐集資訊的行為對於 Apps 開發商來說是很正常的過程,因此 Apple 的 Appstore 在隱私權保護的範圍內並不會太過關心這樣的程式碼,也因此受到污染的 Xcodeghost 可以橫行一段時間。

為了避免在網路上下載相關的應用程式有被污染之嫌,一種常見的作法,是透過特定的演算法對下載完成的檔案演算出特定獨一無二的號碼,與網站所公布的進行校驗比對。但這樣仍有可能無法防止假冒或惡意散佈被污染過的程式橫行。

本次已經知道受到 XcodeGhost 所影響的 iOS 平台應用程式,主要包含台灣人常用的微信、名片全能王、滴滴出行(原滴滴打車,本月份升級改名)、12306(中國鐵道部票務應用程式)、掃描全能王(CamScanner)、微博相機、豆瓣閱讀、高德地圖、中國聯通手機營業廳、中信銀行動卡空間(大陸中信銀行客戶之行動銀行專用應用程式)等等。

微信團隊在其官方微博上面做出的公開聲明表示:「目前確認Xcodeghost所影響的問題存在於微信 iOS 6.2.5,建議使用者可以盡快透過升級微信應用程式修復。目前沒有發現這個問題造成用戶的直接影響,包含資訊或財產的直接損失,但微信團隊仍會持續關注和監測。」

圖說明

滴滴出行也在其官方微博發表聲明,表示團隊在第一時間得知就已經處理這個發生於 4.0 版本「滴滴出行」的問題:「已經在 9月 19日更新為 4.1.0 版,大家可以更新新版和放心使用。感染源的伺服器已經被關閉,不會再產生任何威脅」

根據資安廠商 Polo Alto Network 的整理,透過不同的網站報導或資訊安全公司測試,以下的 iOS 應用程式(不計遊戲類)已經確認受到污染,污染範圍可能會隨著測試增加逐漸擴大。

目前較確定的名單有:
Infected iOS apps
网易云音乐 2.8.3
微信 6.2.5
讯飞输入法 5.1.1463
滴滴出行 4.0.0.6-4.0.0.0
滴滴打车 3.9.7.1 – 3.9.7
铁路12306 4.5
下厨房 4.3.2
51卡保险箱 5.0.1
中信银行动卡空间 3.3.12
中国联通手机营业厅 3.2
高德地图 7.3.8
简书 2.9.1
开眼 1.8.0
Lifesmart 1.0.44
网易公开课 4.2.8
马拉马拉 1.1.0
药给力 1.12.1
喜马拉雅 4.3.8
口袋记账 1.6.0
同花顺 9.60.01
快速问医生 7.73
懒人周末
微博相机
豆瓣阅读
CamScanner
CamCard
SegmentFault 2.8
炒股公开课
股市热点
新三板
滴滴司机
OPlayer 2.1.05
电话归属地助手 3.6.5
愤怒的小鸟2 2.1.1
夫妻床头话 1.2
穷游 6.6.6
我叫MT 5.0.1
我叫MT 2 1.10.5
自由之战 1.1.0

荷蘭的資訊安全公司 Fox-IT (fox-it.com) 經過資料檢查,發現受到污染的 iOS 應用程式名清單如下:

Mercury
WinZip
Musical.ly
PDFReader
guaji_gangtai en
Perfect365
网易云音乐
PDFReader Free
WhiteTile
IHexin
WinZip Standard
MoreLikers2
CamScanner Lite
MobileTicket
iVMS-4500
OPlayer Lite
QYER
golfsense
同花顺
ting
installer
下厨房
golfsensehd
Wallpapers10000
CSMBP-AppStore
礼包助手
MSL108
ChinaUnicom3.x
TinyDeal.com
snapgrab copy
iOBD2
PocketScanner
CuteCUT
AmHexinForPad
SuperJewelsQuest2
air2
InstaFollower
CamScanner Pro
baba
WeLoop
DataMonitor
爱推
MSL070
nice dev
immtdchs
OPlayer
FlappyCircle
高德地图
BiaoQingBao
SaveSnap
WeChat
Guitar Master
jin
WinZip Sector
Quick Save
CamCard

具稱是 XcodeGhost 的原始作者在微博上澄清表示,這個 XcodeGhost 其實是他自己的資訊安全技術實驗,他發現修改 Xcode 編譯設定腳本可以加上使用者自己指定的程式檔案,所以他寫下了這個程式測試,並上傳到自己的網路空間上。他表示,除了上述的基本應用程式資訊外,他另外在程式裡加入了網路廣告的功能,希望將來可以推廣自己的應用程式,但他實際上並未使用過廣告功能,且已經刪除所有數據,希望不會對任何人有任何影響。隨後,作者並將其本次實驗所有的程式碼公布在 Github 上

《數位時代》建議讀者,可以將你手中常用的 iOS 中國市場應用程式整理成幾個專用的資料夾,時常透過更新注意這些應用程式背後的團隊,是否已經快速針對這個問題進行處置。這個事件也通常提醒許多大型軟體與服用應用開發商,應該成立專責的團隊,針對開發與部屬環境進行嚴苛的控管、測試與整理

追蹤我們