XcodeGhost风波

XcodeGhost风波，为中国大陆地区App Store中的部分iOS應用程式被称为「XCodeGhost」的第三方惡意代码注入，而产生了一系列的问题，包括可能的隐私泄漏、广告点击。

因为属于开发者端的程序污染，所以即便是未越狱的iOS用户从苹果官方App Store下载应用也可能存在风险。

Xcode为苹果公司所發行、供程式設計師開發OS X、iOS、watchOS與tvOS應用程式的整合開發環境（IDE），在Mac App Store中免费提供。由于网络审查导致中国大陆用户访问Mac App Store有连接困难，部分开发者出于方便选择了国内第三方渠道下载（如百度网盘、迅雷离线等）或者从社交平台查找获得开发程序，由此带来了安全隐患。

而这部分Xcode的框架库中被加入了被称为“XcodeGhost”的框架库，导致其编译出来的App都带有后门代码，会在最终客户端运行时将隐私信息提交给第三方。^[1]

根据已经披露的文档，腾讯安全应急响应中心在跟踪某app的bug时发现异常流量，解析后上报了中国国家互联网应急中心（CNCERT）^[1]，后者随即在2015年9月14日发布了预警訊息^[2]。之后也有其他国家的信息安全组织跟进调查。

在2015年9月17日左右，新浪微博用户“@唐巧_boy”发布微博声称Xcode有可能被第三方代码注入，而在社交平台上引起轩然大波。乌云网后续发布相关的知识库文章^[3]。

2015年9月19日凌晨4时许，新浪微博上出现一名“XcodeGhost-Author”的新用户发布一条微博訊息，声称XcodeGhost只是一个实验性质项目；随后GitHub上的同名项目页面也刊载同样的声明^[4]。

苹果方面虽然事前缺乏对程序的安全审核，但是事件发生后火速对感染恶意代码的app进行了下架^[5]。

部分中國大陆地区开发商的App因此受到影响，因此对其受污染的App使用正规渠道下载的Xcode进行编译后重新上线。

受到影响的app程序众多，据称受感染的app多达76个^[6]，而记载着app名单的截图应该来自“360安全播报平台”，其将在2015年9月19日更新的消息中将受XcodeGhost感染的app数量上调为344款^[7]；而截至2015年9月20日下午的通报，受感染app数量为1078款^[7]。

知名度较高的部分app如：微信、网易云音乐、滴滴打车、高德地图、12306、同花顺、中信银行动卡空间、简书等。涉及包括即时通讯软件、地图应用甚至金融服务产品。

苹果公司對此事进行了公开声明^[8]，並对于部分感染app进行了下架处理^[5]；从2015年9月20日开始，部分下架程序重新编译后上架，但各厂商对此态度不同，微信的版本更新中并未说明原因，而网易云音乐则注明为“修复XcodeGhost问题”^[9]。

事件相关

• 中国官方媒体的中央电视台报道了该事件^[10]，且在节目中援引专家说法，对所谓作者的无害声明进行质疑。
• 安全网站如乌云、腾讯安全中心，自媒体月光博客等也在该事件中作为信息发布平台提供支持。
• 虽然苹果公司发布了声明并对感染应用做了下架处理^[8]，然而风险仍然存在，即如果用户下载了受感染应用而没有更新，恶意代码仍然有被运行风险。苹果对此也并没有对所有用户发布推送性质的通告。
• 腾讯科技在2015年9月21日发表了署名“梁辰”的相关评论文章^[11]，箭头直指苹果的安全防御机制，解释相关黑色产业链的存在；然而最后段落中，对于开发者不恰当使用第三方渠道下载XCode工具，该文批评指“每次下Xcode花个几十分钟非常正常，这才造成大家都用迅雷和百度网盘这种非官方渠道”。此外，文中错误指称肯·汤普逊言及『编译Unix代码的C编辑器里留有“后门”』，事实为Ken在其论文《Reflections on Trusting Trust》中阐述的若不校验基于信任的信任，那么编译器出现问题时则会影响全局安全性^[12]，与本次事件有相似度。

安全问题外延

• 有人在查找相应的发布源时发现其也有发布带有后门框架的知名游戏开发框架Unity第三方发布源，怀疑Unity也有类似的影响。^[13]而Unity的开发商则发布声明自查官方版本没问题并要求开发者从官方途径下载开发程序。^[14]
• 在2015年9月22日，虽然XcodeGhost作者声明已关闭服务器，然而有安全从业人员表示仍然有安全隐患，潜在攻击者可以通过域名解析污染等手段伪装获得敏感数据，这类手法被命名为截胡攻击（“截胡”为麻将术语）^[15]。

• 因为苹果公司的App Store等服务在中国大陆有访问缓慢的问题。部分开发者选择了从非正规的第三方渠道下载套件，这为恶意软件开发者散布恶意代码提供可乘之机，通过在大陆地区各大苹果开发社交网站散布自己带有后门框架的Xcode来诱使开发人员使用，从而埋下隐患。^[11]

• XcodeGhost作者声称这是一个实验性项目^[16]，然而腾讯安全团队、RAyH4c等均对此说法表示质疑，指其在事前的针对性SEO及该恶意软件感染的规模等方面，均远超出其所声称的个人能力^[17]。

• 根據史諾登（Edward Snowden）揭露文件，美國中情局（CIA）在2012年已有相關能力，即透過偽冒Xcode，用來監控所有使用該偽冒開發工具所開發的App及後續的修改版本，而這套偽冒開發工具所開發的App，可以在蘋果公司的官方App Store上架並販售，且不會被任何人員發覺有異常之處。^[18]

• iOS应用程序审核
• Xcode（苹果开发套件）
• 防火长城（中国大陆访问境外网站受限的阻挡）
• 僵尸网络
• 2014年8月名人照片泄露事件（曾经发生的iCloud泄露事件）

• GitHub上的XcodeGhost頁面
• Greatfire組織：中国流行的iOS应用遭到前所未有的恶意软件感染（简体中文）
• 关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报 （页面存档备份，存于互联网档案馆） 国家互联网应急中心 2015-09-14
• 你以为这就是全部了？我们来告诉你完整的XCodeGhost事件 （页面存档备份，存于互联网档案馆） — 腾讯安全应急响应中心
• Xcode非官方版本恶意代码污染事件（XcodeGhost）的分析与综述 （页面存档备份，存于互联网档案馆），安天实验室（简体中文）
• 《针对此次XcodeGhost攻击行为的分析》 （页面存档备份，存于互联网档案馆）
• Novel Malware XcodeGhost Modifies Xcode, Infects Apple iOS Apps and Hits App Store （页面存档备份，存于互联网档案馆） 安全公司 Paloalto networks 的分析报告（英文）
• Solidot：报道称XcodeGhost开发者已被控制 （页面存档备份，存于互联网档案馆）（简体中文）