iOS一直以安全著称，也是其用户贬低Android的一个重要理由，可谁想一夜之间，iOS上的恶意软件泛滥成灾，更无语的是这些恶意软件是由官方APP变成的，比Android市场上仿冒官方的恶意软件还令人莫名惊诧！

为什么会这样？之前，一个被修改过的Xcode在国内的网盘和论坛上被传播，而这个版本的Xcode会在编译出来的APP里加一些可以被远程控制的代码，并且发送数据到某个服务器上。据估算，受到影响的用户数量会超过1亿。这是iOS出现以来，未越狱系统遭遇到的最大安全隐患——不是苹果无能，而是黑客太狡猾！

事件进展从下架到上架 焦虑48小时

9月20日晚上11点多，国内某创业公司运营部负责人张扬（化名）刚从首都机场降落，就开始在手机里刷邮件和公司微信群。公司内部孵化的新APP已经上线半年了，刚刚度过调试阶段，进入用户口碑传播的高速增长期，加上他们部门刚刚投放的推广计划，软件的用户数每天都会增加500个以上。正因为如此，他才难得的申请到年假出去转了一圈，可没想降落，就发现这两天的数据有大问题。从9月19日下午开始，软件的用户增长突然就停滞了，一直持续到9月20日。这时候张扬才看到公司邮箱里一封来自苹果的邮件，原来公司的软件被苹果下架了！

这封英文邮件让张扬刚刚度假完的好心情跌到谷底。邮件里的大概内容是：告知它们的APP有感染Xcode的风险所以被下架，通知他们从苹果的官方渠道下载Xcode，重新提交升级过的软件才能上架。张扬心里“咯噔”一下，完全顾不上刚下飞机，飞了十多个小时的疲惫，立马进入公司成立的小群里召开紧急会议。

张扬在网上搜索新闻才发现，很多大的商业软件也都被卷入了这场事件。国内知名“越狱”以及移动互联网安全研究团队盘古表示，已经检测到超过800个不同版本的应用感染了XcodeGhost病毒，更多的应用仍在检测中。

小贴士：什么是Xcode？

Xcode 是开发 iPhone / iPad 应用使用最广泛的开发工具，承担了将编程代码转换为可以实际运行程序的工作（简称编译）。Xcode 通常跟随着 iOS 操作系统的版本更新而升级，如果需要在应用中支持一些新功能，例如通知中心挂件，Apple Watch 上的应用。需要使用最新版本的 Xcode 进行开发，编译并提交至苹果，苹果审核后发布到 App Store。一般情况下，开发者应该通过苹果官方的 Mac 应用商店 (Mac App Store) 来下载正版的 Xcode，一个 Xcode 的大小通常在 2G ~ 4G 左右。

实际上，早在9月14日，CNCERT（国家互联网应急中心）发布预警，指出开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序（苹果APP）时，会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为，并具有进行恶意远程控制的功能。但当时该预警并没有广泛引起人们注意。

随着腾讯、阿里移动、乌云等多个安全公司发布报告并且公布受感染的app，包括12306、滴滴出行、高德地图等热门应用，这件事情才开始发酵开来。

到9月19日，苹果公司开始下架受感染的app。接着，张扬所在的公司也收到了来自苹果的下架通知邮件。

这可能是苹果AppStore上线以来，涉及用户数最多的一起安全事件。“这次事件影响很大，不然苹果不至于下架这么多的流行应用。”盘古团队的小G在接受熊熊采访时说道。

实际上，在业内人士看来，这是迄今为止手机行业最大的一次安全事件，至少有过亿用户受到影响。微信、高德地图、滴滴打车、网易云音乐等一些知名app都在第一时间对外承认受到了XcodeGhost的影响，不过这些公司在声明里都表示，这一事件不会对用户的信息安全造成威胁，并且已经发布了修复恶意程序的新版本应用，用户自行升级就可以解决。

直到9月22日深夜，整整48个小时过去，张扬所在的公司的开发团队才重新上线了软件。“我们的开发是外包的，他们不仅处理了我们的软件，几乎两天无休的还处理了其它一些外包软件的重新上线。”刚刚放完大假的张扬感觉两天打了一场仗，“以前没觉得安全事件和我们这类公司有太大关系，这次事件算是敲响了一次警钟。”

揭秘：XcodeGhost干了什么？

XcodeGhost到底干了什么？XcodeGhost就是一个源码病毒，可以将恶意代码加入编译器，这样编译器编译出来的程序都自然携带后门，黑客可以使用这些后门来做坏事，具体到XcodeGhost就是收集iOS的全部信息，并在受感染iPhone中弹出内容由服务器控制的对话窗口。

XcodeGhost作者通过第一个动作获得的信息来精准区分不同iPhone用户，然后再通过第二个动作实现进一步的攻击：可能是伪装在内购页面套取你的iCloud密码；也可能是伪装成支付失败，请到某某支付宝放付款的滋养，来获得金钱等等。

当然，这种攻击也是非常好识破的。比如XcodeGhost再伪装内购弹窗时，你会发现它需要输入Apple ID。但用过苹果的用户都知道，Apple ID在iOS系统内部属于优先级很高的信息，内购弹窗一般都会默认填好Apple ID账号（除了AppStore以外），只要你输入密码。所以一旦发现需要手动输入Apple ID账户的应用弹窗，基本可以确认就是XcodeGhost的钓鱼行为了。

此外，苹果的iOS系统一直被认为很安全是由于苹果对于APP有着严格的安全审核机制，为什么会有数量如此庞大的商业软件中招？这次病毒为何能够轻易骗过苹果？

一位开发者对熊熊表示，这主要是因为病毒收集的信息并不‘敏感’，和很多国内app收集的信息相似，所以这次苹果并没有在第一时间就发现。

而对于数量庞大的商业软件中招原因就更多了。“首先主要还是因为GFW（Great Firewall of China。防火长城，指中国防火墙）的影响下，大量国外网站不能访问或者难于访问，很多怕麻烦的开发者就会选择国内替代品。”一位不愿意具名的程序员对本报记者表示，“从苹果官方渠道升级Xcode速度太慢了，最少要十几个小时，中间中断了可能还要重新下载，这种速度对于如今讲究高效开发的我们来说，真是很耽误时间的事儿。”

还有一位开发者也对熊熊表示，现在很多开发者为了赶进度用盗版软件是家常便饭，另外根本布可能对所有代码进行审查，这要耗费太大的精力。

分析：三大疑问解惑谜团疑问一：潜在影响有多大？

在瑞星安全研究院院长刘思宇看来，本次攻击事件的发生绝非偶然，这是一次蓄谋已久的针对APP开发者的"水坑攻击"，其危害之大、范围之广，史无前例，也很大程度上挑战了iOS以及苹果APP生态链的安全性。

实际上，类似XcodeGhost的攻击手段，是一种面向编译器的攻击，该类攻击并非其第一次被使用。 “2009年就出现过一个‘delphi梦魇’的病毒，一旦感染配置文件，程序员所编译的所有应用程序都会带有病毒。还有针对CAD设计的病毒，黑客修改AUTO CAD的配置文件，致使生成的所有设计图都带有病毒，其他设计师一打开图纸就中毒，还有针对网络运维工程师的。”猎豹安全专家李铁军在接受熊熊采访时表示，以往这些安全事件主要出现在windows平台上，iOS平台则是第一次。

就在XcodeGhost事件还未过去，百度安全实验室在22日称发现了Unity-4.X被感染的样本，只是上线域名变更。盘古团布宣布有证据证明一些游戏引擎的下载地址也被感染病毒，例如Unity 和cocos2dx, 并且这些引擎的安卓版也被感染病毒，手段和之前一样。至此，本来安全问题就不少的安卓也卷入了这次事件。

根据公开资料介绍，Unity是由Unity Technologies开发的一个可创建三维视频游戏、建筑可视化、实时三维动画等类型互动内容游戏开发工具。其编辑器运行在Windows和Mac OS X下，可发布游戏至Windows、Mac、Wii、iPhone、Windows Phone 8和Android等平台。以Unity为引擎开发的游戏包括《纪念碑谷》、《炉石传说》、《神庙逃亡2》等。

Cocos是由触控科技推出的游戏开发一站式解决方案，其中Cocos2d-x是一个开源的移动2D游戏框架，其开发的项目可以很容易地建立和运行在iOS，Android，黑莓Blackberry等操作系统中，还支持Windows、Mac和Linux等桌面操作系统。

但小G表示，“相比之下，安卓的影响会比苹果小很多，具体的我们还在评估。”

疑问二：个人行为还是黑产隐现？

在9月19日凌晨，自称XcodeGhost作者的人在微博发声明，称只是个人偶然发现并实行的实验项目，无威胁行为，并已在“十日前”关闭服务器删除数据。对于这样的解释无法让安全界人士信服，多家安全公司的技术人员对本报记者表示，这背后会是一个及其庞大的产业链导致的现象，没有那么简单。

有安全界人士对其行为追踪发现，半年前就有人开始在大量的iOS开发论坛上散步Xcode的下载链接，甚至还有人入侵某论坛版主的ID来修改下载链接，而这些链接全都指向了同一份网盘文件，如此大规模的非法扩散的举动，“个人做实验”的说法根本解释不同。

有网络工程师在微博上算了一笔账，“要达到此次事件如此庞大的数据收集，所需服务器租用费用起码就每个月50万美元，绝对不可能是‘苦逼iOS开发者个人一时兴起的实验’。”

小G也表示，这种手法以及一系列的行为不太可能是一个做出来的，应该是有一个团队在操盘，背后很可能是和黑色产业链有关。

还有安全行业相关人士透露，今年8月份的事后，一个代号为KeyRaider的恶意程序盗取了225000个Apple帐号，报告中提到KeyRaider曾向icloud-analysis.com发送信息。“这有两种可能，第一种可能是XcodeGhost和KeyRaider是同一作者，还有一种可能是KeyRaider作者在2015年2至8月间也使用了感染XcodeGhost的开发环境。”上述人士表示，从代码分析结果表明第二种可能性较大。

这背后会是一个怎样的黑色产业链？尽管目前还没有太多证据指向，但据李铁军分析，这个黑色产业链幕后有几种可能：第一，收集用户行为数据做精准分析，比如出售给广告公司，用种毒的方式来实现广告投放和app推广挣钱；第二是利用iCloud发广告信息和刷榜，这是针对没有启用双重验证的网民；前两种都算是比较有底线的利用，还有第三种是恶意的行为，比如远程锁定用户收集诈骗或者勒索等。

疑问三：用户和开发者应该怎么办？

“我的手机安全吗？”“升级以后软件还能用吗？”、“我在微信、12306都绑定过信用卡，会不会被盗刷？”以前对苹果安全信心十足的用户现在也变得十分惶恐。

从目前各个安全公司的报告来看，XcodeGhost收集的数据确实不涉及太敏感和关键的信息，目前尚无证据证实XcodeGhost有利用收集用户信息违法获利的行为，也没有收到用户损失方面的报告。从这个方面来说，即便安装了受影响的App，iPhone用户也不必过于紧张。

需要注意的是，之前已经有部分用户信息被发到目标服务器，尽管目前“投毒者”还没有动作，“真凶”也没有抓到，所以用户还是依然存在“潜在风险”。

安全人士建议，首先用户应该开启Apple ID两步验证。其次，XcodeGhost 病毒可以在未越狱的 iPhone 上伪造弹窗进行钓鱼攻击，其生成的对话窗口仿真度非常高，很难辨别，因此用户如果在之前输入过iTunes密码，那么一定要尽快进行修改。再次，手机中安装了受到影响的App的用户，如果是常用的应用，就暂停使用，等开发者发布新的版本更新后再使用；如果是不常用的应用，可以直接卸载。最后，养成定期修改密码的好习惯。

猎豹移动表示，这件事给程序员敲响了警钟：要安全，首先得保证自己的开发工具安全。程序员被黑客暗算的事曾经多次发生，无论如何，建议使用正版、未被非法篡改过的开发工具编写程序，避免用户成为受害者；其次，编译环境、发布环境的安全值得注意，编译服务器和自动发布服务器，应保持干净的环境，不要随意安装来源不明的可疑软件。

熊熊采访手记：

一直将未越狱系统列为非常安全的苹果这次也栽了，栽在源代码病毒上。原因有很多，因为国内的防火墙，因为开发者的习惯，因为苹果的检测机制，因为等等原因。幸运的是，这次事件虽然波及的厂商数量众多，且很多用户数量非常庞大的app诸如微信、滴滴出行、12306等都中招，但各家处理的还算迅速，侥幸逃过一次大的危机。

然而，这次事件却留给我们一个思考，我们的智能设备越来越多，手机、手表、手环、眼睛、耳机到智能家居等等，数据越来越多，留给我们的安全问题也就更多了。比如各类设备会纪录用户的个人数据，智能家居和智能汽车能够掌握的信息就更多了。在一些不同的场合，也有一些黑客演示在几分钟之类攻破顶级豪车的智能锁。在越来越智能的时代，用户的安全将被如何安放，也成为众多商业公司应该思考的问题。