腾讯科技讯(梁辰)9月19日,一个名为“XcodeGhostSource”的帐号在GitHub发布“关于所谓”XcodeGhost”的澄清”一文称,“源于我自己的实验,没有任何威胁性行为”。
9月18日,乌云网和硅谷安全公司Palo Alto发布安全预警称,在App Store上架的网易云音乐等多个应用被注入Xcode第三方恶意代码,会将用户信息发送到病毒作者服务器。
Twitter用户@fannheyward 爆料称,受影响的除了网易云音乐外,还包括12306、中信银行动卡空间等应用。@fannheyward 为爱微创想的iOS开发主管。
“所谓的’XcodeGhost’,以前是一次错误的实验,以后只是彻底死亡的代码而已。”文章作者称,10天前已主动关闭服务器,并删除所有数据,不会对任何人有任何影响。
GitHub是一个代码托管网站,其形式类似博客,只是内容为代码。腾讯科技浏览发现,“XcodeGhostSource”为新注册账号,注册时间为2015年9月19日。有业内人士告诉腾讯科技,该作者并不希望被外界知道其身份。
文章作者解释,“XcodeGhost”是iOS开发者的一次意外发现,即“修改Xcode编译配置文本可以加载指定的代码文件”,而文章作者写下上述附件中的代码进行尝试,并上传到自己的网盘。
该代码能够获取的信息包括,应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型等基本App信息。
文章作者也承认,其出于私心,在代码加入了广告功能,希望将来可以推广自己的应用。不过,从开始到最终关闭服务器,我并未使用过广告功能。
另有业内人还表示,这一漏洞源自美国计算机科学学者Ken Thompson30年前在编译器内留的后门。
9月19日,腾讯安全应急响应中心发布信息称,12日,在跟进一个bug时发现有App在启动、退出时会通过网络向某个域名发送异常的加密流量。经过一个周末加班的分析和追查,基本还原了感染方式、病毒行为、影响面。
9月13日,产品团队发布新版本的同时,知会了国家互联网应急中心(CNCERT)。9月14日,CNCERT发布相关预警通报。
CNCERT在监测中发现,“开发者使用非苹果公司官方渠道的XCODE工具开发苹果应用程序(苹果App)时,会向正常的苹果App中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。”