XcodeGhost作者发文：代码源自试验 已无威胁性

腾讯科技讯（梁辰）9月19日，一个名为“XcodeGhostSource”的帐号在GitHub发布“关于所谓”XcodeGhost”的澄清”一文称，“源于我自己的实验，没有任何威胁性行为”。

9月18日，乌云网和硅谷安全公司Palo Alto发布安全预警称，在App Store上架的网易云音乐等多个应用被注入Xcode第三方恶意代码，会将用户信息发送到病毒作者服务器。

Twitter用户@fannheyward 爆料称，受影响的除了网易云音乐外，还包括12306、中信银行动卡空间等应用。@fannheyward 为爱微创想的iOS开发主管。

“所谓的’XcodeGhost’，以前是一次错误的实验，以后只是彻底死亡的代码而已。”文章作者称，10天前已主动关闭服务器，并删除所有数据，不会对任何人有任何影响。

GitHub是一个代码托管网站，其形式类似博客，只是内容为代码。腾讯科技浏览发现，“XcodeGhostSource”为新注册账号，注册时间为2015年9月19日。有业内人士告诉腾讯科技，该作者并不希望被外界知道其身份。

文章作者解释，“XcodeGhost”是iOS开发者的一次意外发现，即“修改Xcode编译配置文本可以加载指定的代码文件”，而文章作者写下上述附件中的代码进行尝试，并上传到自己的网盘。

该代码能够获取的信息包括，应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型等基本App信息。

文章作者也承认，其出于私心，在代码加入了广告功能，希望将来可以推广自己的应用。不过，从开始到最终关闭服务器，我并未使用过广告功能。

另有业内人还表示，这一漏洞源自美国计算机科学学者Ken Thompson30年前在编译器内留的后门。

9月19日，腾讯安全应急响应中心发布信息称，12日，在跟进一个bug时发现有App在启动、退出时会通过网络向某个域名发送异常的加密流量。经过一个周末加班的分析和追查，基本还原了感染方式、病毒行为、影响面。

9月13日，产品团队发布新版本的同时，知会了国家互联网应急中心（CNCERT）。9月14日，CNCERT发布相关预警通报。

CNCERT在监测中发现，“开发者使用非苹果公司官方渠道的XCODE工具开发苹果应用程序（苹果App）时，会向正常的苹果App中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为，并具有进行恶意远程控制的功能。”