惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
T
Troy Hunt's Blog
Scott Helme
Scott Helme
T
Threat Research - Cisco Blogs
T
Tenable Blog
L
LINUX DO - 热门话题
V
Visual Studio Blog
I
Intezer
Blog — PlanetScale
Blog — PlanetScale
Cisco Talos Blog
Cisco Talos Blog
A
Arctic Wolf
C
Cyber Attacks, Cyber Crime and Cyber Security
F
Fortinet All Blogs
aimingoo的专栏
aimingoo的专栏
Know Your Adversary
Know Your Adversary
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
N
Netflix TechBlog - Medium
SecWiki News
SecWiki News
I
InfoQ
Microsoft Security Blog
Microsoft Security Blog
Project Zero
Project Zero
W
WeLiveSecurity
Microsoft Azure Blog
Microsoft Azure Blog
A
About on SuperTechFans
Recorded Future
Recorded Future
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Vercel News
Vercel News
S
Securelist
Spread Privacy
Spread Privacy
L
LangChain Blog
云风的 BLOG
云风的 BLOG
G
Google Developers Blog
MongoDB | Blog
MongoDB | Blog
Google DeepMind News
Google DeepMind News
Recent Commits to openclaw:main
Recent Commits to openclaw:main
D
Darknet – Hacking Tools, Hacker News & Cyber Security
C
CERT Recently Published Vulnerability Notes
罗磊的独立博客
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
The Last Watchdog
The Last Watchdog
Attack and Defense Labs
Attack and Defense Labs
博客园 - 司徒正美
Help Net Security
Help Net Security
L
Lohrmann on Cybersecurity
人人都是产品经理
人人都是产品经理
Forbes - Security
Forbes - Security
Hacker News - Newest:
Hacker News - Newest: "LLM"
PCI Perspectives
PCI Perspectives
博客园 - 【当耐特】
T
Tor Project blog

月光博客

AI编程从零开始:环境配置到开发调试-月光博客 母亲被保健品诈骗-月光博客 向身体低头,向岁月妥协:我的高血压“还债日记” -月光博客 月光博客电子书:《信息安全指南》 谷歌发布2025年度搜索排行榜 中国2025社会热点大事记 2025年十大流行语发布 7天3次,骗子骗走我母亲95万元 “技术男”设三重安全墙,母亲95万存款还是被骗走了 电信诈骗后的复盘:母亲的95万元,是怎么从手机银行里消失的 母亲被电信诈骗95万元的全过程 阿根廷警察被谷歌街景相机拍到裸照 网信办开展“清朗·整治恶意挑动负面情绪问题”专项行动 翟欣欣敲诈勒索案一审获刑12年 《绝命毒师》影评:力工觉醒后的梭哈至死 《人工智能生成合成内容标识办法》正式施行 用AI分析你的财务信息 腾讯子公司实习HR怒怼求职者后被开除 OpenAI发布最强模型GPT-5,免费向所有用户开放 用AI解构你的日记 用AI分析你的游戏偏好 用AI分析你的观影偏好 用AI分析你的听歌偏好 《白鹿原》人物分析:乱世浮沉中的人性剖析 乌托邦的捷径:让AI治理“失败国家” 苹果AI的“路径错误”:为什么它在大模型时代掉队了? 《暗黑破坏神3》第35赛季开荒指南 我对特朗普的看法 欧·亨利十大经典小说鉴赏 HBO电视剧《最后生还者》第二季影评 播客自动化更新分发教程 《围城》人物分析:知识分子的时代困局 NotebookLM音频概览支持中文 《暗黑破坏神3》国服回归 《暗黑破坏神3》国服赛季开荒指南 《网络数据安全管理条例》正式发布实施 契约之下的自由:社会契约论 如何去除文章的AI味道 电影《好东西》影评 我的价值观:义务论和效益论 《魔兽世界》正式服PVP教程 电影《哪吒2》影评 中医理论不是科学理论 DeepSeek与主流AI模型对比评测 TikTok停止在美国服务 我的三观(世界观、价值观、人生观) 《无限暖暖》游戏评测 2024年财经年度总结 月光博客2024年推荐阅读文章 IMDb公布2024年热门电影和电视剧 2024年十大流行语发布 谷歌发布2024年度搜索排行榜 中国2024社会热点大事记 Google Adsense税务居住地证明申请教程 极狐GitLab回应前员工实名举报公司高管:恶意诽谤造谣 升级FTTR千兆光纤带宽 字节跳动起诉前实习生索赔800万 看完历届奥斯卡最佳影片后的体验 李子柒已经正式改名并恢复更新 苹果历年新春短片 “姜萍事件”调查结果公布 胡锡进社交平台恢复更新 上海女子沙白自杀的伦理道德分析 京东与杨笠一起玩火 字节跳动大模型训练被实习生攻击,涉事者已被辞退 《加勒比海盗》系列电影 《夺宝奇兵》系列电影时间线 《侏罗纪公园》系列电影时间线 《终结者》系列电影时间线 华为禁止用户从外部手动安装安卓应用(APK文件) 《炉石传说》国服回归一片混乱 官媒辟谣苹果手机被远程引爆 小米回应摄像头里出现陌生男子说话 环球人物:民族大义不是流量密码,盲目排外没有土壤 《异形》系列电影时间线 看完IMDb250后的体验 暴雪《炉石传说》国服开启预约 网易DD参与代打《魔兽世界》事件的深入分析 福建男子四年前“翻墙”浏览境外网站被行政处罚 《魔兽世界》正式服开服两周游戏体验 暴雪游戏足迹查询:查看暴雪游戏的数据 用AI分析你的推特社交网络数据 胡锡进停更三个月 国家网络身份认证公共服务管理办法向社会公开征求意见 苹果将部分产能转回中国 Windows全球大范围蓝屏 电影《V字仇杀队》影评 微软中国员工禁用安卓手机:只能用iPhone 《魔兽世界》怀旧服“巫妖王之怒”游戏体验 百度旗下萝卜快跑已在多个城市开放载人测试 我为什么不喜欢华为这家企业 胡锡进:强烈谴责苏州袭击日本人的凶手 20美元在美国超市的购买力 华为紧急辟谣“是国内最大的牛肉进口商” 苹果公司公布2024年Apple设计大奖获奖名单 自动生成电影剧本:人工智能技术的崭新里程碑 电影《芳华》人物分析 Steam账号被盗号的解决方法 中文互联网内容正在逐步消失 马斯克:推特域名已全部转移到X
XcodeGhost事件或成年内最严重信息安全事件
月光 · 2015-09-26 · via 月光博客

商业安全评估机构与应用软件开发者等认为,这次iOS系统受XcodeGhost木马后门感染事件,一定是有组织、有预谋的团队所为,而绝非普通黑客做“实验”这么简单,该事件或将成为今年国内最严重的信息安全事件。

XcodeGhost事件仍在持续发酵。 9月14日,国家互联网应急中心在官网发布了“关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报”。通报称,国内开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序时,会向正常的苹果App植入恶意代码,这些受感染的苹果App可以在App Store正常下载并安装,且恶意代码具有信息窃取行为,并可进行恶意远程控制的功能。

近日,业界知情人士称,这次iOS系统木马入侵事件,已导致大约1亿左右苹果手机用户受到感染影响,另由Unity开发引擎开发的游戏软件也可能已被“投毒”,这意味着不仅是苹果系统手机“中枪”,包括微软和安卓系统在内的部分游戏软件同样存在感染XcodeGhost木马的安全风险。

XcodeGhost事件虽然没有在用户群引起广泛关注,但对于软件开发者而言是一次不小的地震。技术人员表示,号称全球安全系数最高的手机系统苹果iOS被悄无声息地攻破,进攻者入侵后还可快速全身而退,绝非常人能所及。

业内专家龙威廉向《财经》记者分析,主导者至少准备了半年甚至更长时间,因为6月份国内一些软件开发的专业论坛,就出现过大量推广下载Xcode进行软件开发的帖子。

主导者先将正版苹果App开发包 Xcode的源代码进行修改嵌入恶意代码,而后将修改的开发包上传至百度网盘,并不断在各大论坛刷帖,提高关键词热度使其不断优化得到推广,当软件开发者在搜索引擎输入Xcode等关键词时,这个仿冒的开发包就会被自动推送到上端,并最终链接到百度网盘的网址,供开发者下载使用。

开发者会优先下载使用百度网盘的数据,是缘于正版的 Xcode下载速度过慢,据悉苹果正版软件开发包容量有5GB,以国内网速而言,需要很长时间。百度网盘只需很短时间就可完成下载。App软件开发者在使用这个开发包时,很难辨识出其中是否暗藏有木马,因为Xcode嵌入的恶意代码属于二进制代码,开发过程中可通过Core Service库文件进行感染,具有极高的隐秘性和迷惑性,需对源代码进行编译后再用专业的抓包工具进行检测,才可能发现疑似病毒。

“无论是国内软件开发者还是苹果公司的安全人员,都没有预料也很难发现这个漏洞。”一位知情人士称,Xcode事件的主导者能成功躲过安全系统的层层审核,至少说明当事者对苹果安全审核机制以及国家监管体系等都非常清楚,才能做到在中国本土化的iOS系统安插“后门”,搜集用户信息。

9月16日,腾讯安全中心和360公司的技术人员陆续发现,苹果iOS系统App Store上的Top5000应用有数百款被该木马感染。其中包括装机量过亿的微信iOS(6.2.5版)、高德地图(7.3.8版)以及中信银行动卡空间(3.3.12版)、中国联通网上营业厅(3.2版)、滴滴打车(3.9.7版)、网易云音乐(2.8.3版)、51卡保险箱(5.0.1版)、同花顺(9.26.03版)、喜马拉雅(4.3.8版)等。

9月19日,一位自称是XcodeGhost事件主导者的网友发微博声明称,这只是实验项目,无任何危险,更不会获取用户的隐私数据。微博强调其搜集的数据都是App 的基本信息,如应用号、系统版本号、设备名等,且于9月9日就主动关闭了服务器并删除所有数据。

对此,9月20日,苹果方面回应称,在这次攻击中,黑客诱骗应用开发者使用了修改过的苹果应用开发工具Xcode,并将恶意代码注入这些应用。

苹果发言人克里斯汀·莫纳汉(Christine Monaghan)则在一封电子邮件中表示,苹果工作人员已从iOS App Store中删除了这些基于伪造工具开发的应用,并与开发者合作,确保他们使用合适版本的Xcode去重新开发应用。

据悉,这也是App Store首次遭遇大规模信息安全攻击。

有技术专家表示,虽然搜集信息的服务器已被关闭,但并不代表其他黑客不会利用已被攻破的路径或类似路径,去控制被感染用户的手机。专家建议,被感染用户需及时删除和更新被感染木马的APP,否则仍将存在个人信息泄露和被搜集其他信息的安全隐患。

按照Xcode嵌入代码的设计,其可随时向被感染手机发送指令,如强制弹出广告,获取更多个人信息。这意味着,被感染用户收到银行App系统发送的输入账户和密码指令,有可能并不是由银行发出。消息人士进一步指出,事件中已知4家国有大型银行App中招感染了该木马。

中国市场有4亿5千万台智能手机设备,其中约有1亿3千万台安装了苹果系统。据商业安全机构的评估测算,这次XcodeGhost事件至少导致1亿左右的iOS系统用户“中毒”。

一波未平一波又起。

9月23日上午,百度安全实验室发现Unity3D等多款用于游戏开发的工具,同样被插入了类似XcodeGhost的恶意代码,该恶意代码目前被阿里移动安全团队命名为“Unity Ghost”。

据悉Unity可发布游戏至Windows、OS X、Wii、iPhone、Windows phone 8和Android平台。一些软件开发团队(盘古越狱团队等)证实,部分游戏开发引擎的安卓版已被感染“Unity Ghost”。

中国互联网领域研究人员介绍说,近年来中国互联网安全受到了极大挑战。去年包括如家和汉庭在内的一半左右经济型酒店的开房记录数据库被攻破;今年中国互联网络信息中心(CNNIC)颁发了一个可用于中间人攻击的SSL证书,被谷歌Chrome浏览器和火狐浏览器禁止;5月底,携程的根数据库被格式化;7月份百度被劫持;以及9月份苹果iOS系统被木马入侵等。

“就目前情况相比较而言,XcodeGhost木马入侵事件,很有可能成为今年最严重的信息安全事件。”上述研究人员表示,这次攻击三个月至少花费50万美元,而对于大投入却未见收益就戛然而止的项目,个人或商业机构一般不会去做,也就是说此事必定为掌握大量关键资源和大量资金支持的团队长期部署所为。

《财经》记者还获悉,XcodeGhost事件爆发后,除商业安全评估机构和业界技术专家在关注外,互联网办公室与工信部等国家高层监管系统,也在密切监控该事件发展动向。

iOS系统失守,国内的安卓系统则更不容乐观。据猎豹移动安全实验室发布的《2014-2015中国互联网安全研究报告》显示,去年全球感染病毒的安卓手机计2.8亿部,平均每天80万部安卓手机中毒,中国以近1.2亿部手机中毒高居榜首,中国已成为全球受安卓病毒之害最严重的国家。

从立法层面,如何避免大数据时代技术为刀俎,用户为鱼肉,确保用户信息安全,仍将是一个值得持续深思的问题。

XcodeGhost病毒波及大量主流iOS应用

稿源:财经杂志,记者 肖辉龙

XcodeGhost事件或成年内最严重信息安全事件