惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
MyScale Blog
MyScale Blog
Jina AI
Jina AI
爱范儿
爱范儿
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
I
Intezer
The Cloudflare Blog
T
Threat Research - Cisco Blogs
G
Google Developers Blog
Stack Overflow Blog
Stack Overflow Blog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
D
Docker
AI
AI
Scott Helme
Scott Helme
Attack and Defense Labs
Attack and Defense Labs
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
L
LangChain Blog
Recent Announcements
Recent Announcements
Security Latest
Security Latest
Hugging Face - Blog
Hugging Face - Blog
W
WeLiveSecurity
Last Week in AI
Last Week in AI
Security Archives - TechRepublic
Security Archives - TechRepublic
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
P
Proofpoint News Feed
S
Securelist
S
Security Affairs
Project Zero
Project Zero
博客园 - 叶小钗
Google DeepMind News
Google DeepMind News
T
Tor Project blog
A
About on SuperTechFans
V2EX - 技术
V2EX - 技术
宝玉的分享
宝玉的分享
T
Tenable Blog
博客园 - 聂微东
人人都是产品经理
人人都是产品经理
Simon Willison's Weblog
Simon Willison's Weblog
Forbes - Security
Forbes - Security
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
V
V2EX
AWS News Blog
AWS News Blog
The GitHub Blog
The GitHub Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
P
Privacy & Cybersecurity Law Blog
阮一峰的网络日志
阮一峰的网络日志
I
InfoQ
C
CXSECURITY Database RSS Feed - CXSecurity.com
H
Hacker News: Front Page
美团技术团队

月光博客

AI编程从零开始:环境配置到开发调试-月光博客 母亲被保健品诈骗-月光博客 向身体低头,向岁月妥协:我的高血压“还债日记” -月光博客 月光博客电子书:《信息安全指南》 谷歌发布2025年度搜索排行榜 中国2025社会热点大事记 2025年十大流行语发布 7天3次,骗子骗走我母亲95万元 “技术男”设三重安全墙,母亲95万存款还是被骗走了 电信诈骗后的复盘:母亲的95万元,是怎么从手机银行里消失的 母亲被电信诈骗95万元的全过程 阿根廷警察被谷歌街景相机拍到裸照 网信办开展“清朗·整治恶意挑动负面情绪问题”专项行动 翟欣欣敲诈勒索案一审获刑12年 《绝命毒师》影评:力工觉醒后的梭哈至死 《人工智能生成合成内容标识办法》正式施行 用AI分析你的财务信息 腾讯子公司实习HR怒怼求职者后被开除 OpenAI发布最强模型GPT-5,免费向所有用户开放 用AI解构你的日记 用AI分析你的游戏偏好 用AI分析你的观影偏好 用AI分析你的听歌偏好 《白鹿原》人物分析:乱世浮沉中的人性剖析 乌托邦的捷径:让AI治理“失败国家” 苹果AI的“路径错误”:为什么它在大模型时代掉队了? 《暗黑破坏神3》第35赛季开荒指南 我对特朗普的看法 欧·亨利十大经典小说鉴赏 HBO电视剧《最后生还者》第二季影评 播客自动化更新分发教程 《围城》人物分析:知识分子的时代困局 NotebookLM音频概览支持中文 《暗黑破坏神3》国服回归 《暗黑破坏神3》国服赛季开荒指南 《网络数据安全管理条例》正式发布实施 契约之下的自由:社会契约论 如何去除文章的AI味道 电影《好东西》影评 我的价值观:义务论和效益论 《魔兽世界》正式服PVP教程 电影《哪吒2》影评 中医理论不是科学理论 DeepSeek与主流AI模型对比评测 TikTok停止在美国服务 我的三观(世界观、价值观、人生观) 《无限暖暖》游戏评测 2024年财经年度总结 月光博客2024年推荐阅读文章 IMDb公布2024年热门电影和电视剧 2024年十大流行语发布 谷歌发布2024年度搜索排行榜 中国2024社会热点大事记 Google Adsense税务居住地证明申请教程 极狐GitLab回应前员工实名举报公司高管:恶意诽谤造谣 升级FTTR千兆光纤带宽 字节跳动起诉前实习生索赔800万 看完历届奥斯卡最佳影片后的体验 李子柒已经正式改名并恢复更新 苹果历年新春短片 “姜萍事件”调查结果公布 胡锡进社交平台恢复更新 上海女子沙白自杀的伦理道德分析 京东与杨笠一起玩火 字节跳动大模型训练被实习生攻击,涉事者已被辞退 《加勒比海盗》系列电影 《夺宝奇兵》系列电影时间线 《侏罗纪公园》系列电影时间线 《终结者》系列电影时间线 华为禁止用户从外部手动安装安卓应用(APK文件) 《炉石传说》国服回归一片混乱 官媒辟谣苹果手机被远程引爆 小米回应摄像头里出现陌生男子说话 环球人物:民族大义不是流量密码,盲目排外没有土壤 《异形》系列电影时间线 看完IMDb250后的体验 暴雪《炉石传说》国服开启预约 网易DD参与代打《魔兽世界》事件的深入分析 福建男子四年前“翻墙”浏览境外网站被行政处罚 《魔兽世界》正式服开服两周游戏体验 暴雪游戏足迹查询:查看暴雪游戏的数据 用AI分析你的推特社交网络数据 胡锡进停更三个月 国家网络身份认证公共服务管理办法向社会公开征求意见 苹果将部分产能转回中国 Windows全球大范围蓝屏 电影《V字仇杀队》影评 微软中国员工禁用安卓手机:只能用iPhone 《魔兽世界》怀旧服“巫妖王之怒”游戏体验 百度旗下萝卜快跑已在多个城市开放载人测试 我为什么不喜欢华为这家企业 胡锡进:强烈谴责苏州袭击日本人的凶手 20美元在美国超市的购买力 华为紧急辟谣“是国内最大的牛肉进口商” 苹果公司公布2024年Apple设计大奖获奖名单 自动生成电影剧本:人工智能技术的崭新里程碑 电影《芳华》人物分析 Steam账号被盗号的解决方法 中文互联网内容正在逐步消失 马斯克:推特域名已全部转移到X
XcodeGhost病毒波及大量主流iOS应用
月光 · 2015-09-18 · via 月光博客

据乌云漏洞平台报道,国内多个厂商的App开发者使用了第三方途径下载的Xcode开发环境(非Apple正规途径),下载了被植入了恶意代码的iOS应用开发工具Xcode,导致其编译后应用感染上了一种名叫XcodeGhost的病毒,会自动发送信息至第三方远端服务器,这种病毒不仅会在应用运行时窃取用户信息,并有可能窃取用户的iTunes密码。

Xcode是运行在Mac OS X 上的集成开发工具。该工具由苹果公司研发,是目前最常见的iOS应用开发工具。有部分iOS开发者没有从苹果的官方渠道下载Xcode开发工具,而是从迅雷、百度网盘等第三方途径获得该工具,而病毒开发者正是利用了这一点。正是因为使用的是修改版的Xcode开发工具,所以做出来的应用自然也就是携带病毒的了。

这次XcodeGhost木马病毒的泛滥有可能和迅雷有关,一些开发者称,即使地址用的是官方地址,使用迅雷下载的Xcode依旧可以下载到被修改的带有木马病毒的Xcode。

XcodeGhost病毒波及大量主流iOS应用

据360安全播报的统计,目前已知的被植入Xcode恶意代码的iOS应用有:

微信6.2.5 
网易云音乐2.8.1
网易云音乐2.8.3
网易公开课4.2.8
图钉7.7.2 
同花顺9.26.03
同花顺9.60.01
铁路123062.1
天涯社区5.1.0
天使房贷5.3.0.2 - 5.3.0
三国名将4.5.0.1 - 4.5.1 
穷游6.4.1 - 6.4 
穷游6.4.1
逆轉三國5.80.5 - 5.80 
南京银行3.6 - 3.0.4
南方航空2.6.5.0730 -   2.6.5 
妈妈圈5.3.0
联通手机营业厅3.2
开眼1.8.0
卷皮3.3.1
简书2.9.1
股票雷达5.6.1 - 5.6 
高德地图7.3.8.1040 -   7.3.8 
高德地图7.3.8.2037
夫妻床头话2.0.1
动卡空间3.4.4.1 - 3.4.4 
电话归属地助手3.6.3 
滴滴打车3.9.7.1 - 3.9.7 
滴滴出行4.0.0
炒股公开课3.10.02 -   3.10.01 
百度音乐5.2.7.3 - 5.2.7 
自由之战1.0.9 
诊疗助手7.2.3 
造梦西游OL4.6.0
下厨房4.3.1
下厨房4.3.2
我叫MT21.8.5
我叫MT4.6.2
YaYa药师1.1.1
YaYa6.4.3 - 6.4 
WO+创富2.0.6 - 2.0.4 
WallpaperFlip1.8
VGO视信1.6.0 
UME电影票2.9.4 
UA电影票2.9.2 
Theme2.4 - 2.4 
Theme2.4.2 - 2.4 
Phone+3.3.6 
Perfect3654.6.16
OPlayer Lite21051 - 2105
MTP管理微学1.0.0 - 2.0.1 
Mail Attach2.3.2 - 2.3 
Jewels Quest 23.39
H3C易查通2.3 - 2.2 
Digit God2.0.4 - 2.0 
Cute CUT1.7
CarrotFantasy1.7.0.1 - 1.7.0 
CamCard6.3.2.9095 -   6.3.2 
Albums2.9.2 
AA记账1.8.7 - 1.8 
51卡保险箱5.0.1
2345浏览器4.0.1

针对XcodeGhost事件,微信官方公告如下:

目前,网上传播微信6.2.5版本存在严重漏洞的说法,微信团队说明如下:

1.该问题仅存在iOS 6.2.5版本中,最新版本微信已经解决此问题,用户可升级微信自行修复,此问题不会给用户造成直接影响。

2.目前尚没有发现用户会因此造成信息或者财产的直接损失,但是微信团队将持续关注和监测。

3.微信技术团队具备成熟的“反黑客”技术,一旦发现黑客攻击,将第一时间做出技术对抗并及时锁定黑客具体信息,配合公安机关打击相关违法犯罪活动。

4.用户在使用微信过程中有任何问题,可通过微信公众号“微信团队”向我们反馈。

微信团队

2015年9月18号 

迅雷的官方回应如下:

各位媒体朋友和迅雷用户:

对于今天爆出的Xcode被植入恶意代码一事,我们注意到有猜测称,迅雷服务器受到感染,导致使用迅雷会下载到含有恶意代码的Xcode。

迅雷第一时间安排工程师进行检测。工程师测试了乌云网原文中提到的Xcode6.4和7.0两个版本的下载,检查了索引服务器中的文件校验信息,并对比了离线服务器上的文件,结果都与苹果官方下载地址的文件信息一致。也就是说,官方链接的Xcode经迅雷下载不会被植入恶意代码。

感谢大家对迅雷的支持,请大家放心使用迅雷!

网易云音乐的回应公告如下:

受非官方渠道开发工具XcodeGhost“感染”影响,iPhone端部分应用会上传产品自身的部分基本信息(安装时间,应用id,应用名称,系统版本,语言,国家)。

此次感染设计信息皆为产品的系统信息,无法调取和泄露用户的个人信息。目前感染制作者的服务器已关闭,不会产生任何威胁。

再次感谢大家对网易云音乐一直以来的关注与支持。

有用户举报始作俑者的网名为coderfun,主要以各类 iOS 开发论坛和微博留言区为据点,提供带有病毒版本的 Xcode 网盘下载地址,其中包括了从 Xcode6.1-Xcode6.4 的所有版本,目前其真身不得人知。分析人士指出,病毒作者是个老手,并且非常小心,在代码和服务器上都没有留下什么痕迹。

还有有用户爆料称, XcodeGhost 病毒可以在未越狱的 iPhone 上伪造弹窗进行钓鱼攻击,其生成的对话窗口仿真度非常高,很难辨别。

因此,使用过上述应用的用户,应该立刻修改自己的iCloud密码,最好能加上“两步验证”,保护苹果iCloud账户的较好方法是启用“两步验证”,具体位置是:“我的 Apple ID”-“管理您的 Apple ID”,选择“密码和帐户安全”。在“两步验证”下,选择“开始设置”,用过用户修改过密码,那么今天申请,三天后才能开通。

不过,XcodeGhost事件并不表明苹果iOS的安全性相比安卓有什么问题,实际上,就开发环境来说,安卓也是一样的,苹果的开发软件下载速度慢,而安卓的开发软件不翻墙根本无法从官网下载,大量安卓开发者都不是从官网下载的开发环境,很多开发工具来路不明,因此安卓很可能也存在类似问题。

9月19日凌晨4:40分,XcodeGhost事件的始作俑者以 XcodeGhost-Author 的身份在新浪微博贴出致歉声明,称其只是一个实验性项目,并没有任何包含威胁性的行为。并公开了源码。声明原文如下:

关于所谓“XcodeGhost”的澄清

首先,我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验,没有任何威胁性行为,详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost

所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现:修改Xcode编译配置文本可以加载指定的代码文件,于是我写下上述附件中的代码去尝试,并上传到自己的网盘中。

在代码中获取的全部数据实际为基本的app信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类 型。除此之外,没有获取任何其他数据。需要郑重说明的是:出于私心,我在代码加入了广告功能,希望将来可以推广自己的应用(有心人可以比对附件源代码做校 验)。但实际上,从开始到最终关闭服务器,我并未使用过广告功能。而在10天前,我已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。

愿谣言止于真相,所谓的"XcodeGhost",以前是一次错误的实验,以后只是彻底死亡的代码而已。

需要强调的是,XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。

再次真诚的致歉,愿大家周末愉快。

 后续:XcodeGhost事件时间线

Xcode是由苹果公司开发的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的最快捷的方式,其具有统一的用户界面设计,同时编码、测试、调试都在一个简单的窗口内完成。

自2015年9月14日起,一例Xcode非官方供应链污染事件在国家互联网应急中心发布预警后,被广泛关注,多数分析者将这一事件称之为“XcodeGhost”。攻击者通过对Xcode进行篡改,加入恶意模块,进行各种传播活动,使大量开发者获取到相关上述版本,建立开发环境,此时经过被污染过的Xcode版本编译出的App程序,将被植入恶意逻辑,其中包括向攻击者注册的域名回传若干信息,并可能导致弹窗攻击和被远程控制的风险。

本事件由腾讯相关安全团队于9月10日发现,并上报国家互联网应急中心,国家互联网应急中心发出了公开预警,此后PaolAlto Network、360、盘古、阿里、i春秋等安全厂商和团队机构,对事件进行了大量跟进分析、处理解读。

截止到2015年9月20日,各方已经累计发现共692种(如按版本号计算为858个)App确认受到感染。同时,有分析团队认为,相同的攻击者或团队可能已经对安卓开发平台采用同样的思路进行了攻击尝试。目前,已有分析团队发现著名的游戏开发工具Unity 3D也被同一作者进行了地下供应链污染,因此会影响更多的操作系统平台。从其感染面积、感染数量和可能带来的衍生风险来看,其可能是移动安全史上最为严重的恶意代码感染事件之一。

XcodeGhost病毒波及大量主流iOS应用