雅虎香港新聞 多款大陸知名 iOS 應用因非官方 Xcode 陷入後門危機
以一般認知來說,iOS 的安全性基本上都比其它平台來得要高,但今天下午被爆出的一場因非官方 Xcode 編譯器引起的危機,卻讓人對這件事有了新的認識。昨日傍晚,大陸著名漏洞報告平台烏雲刊出了一篇來自 @蒸米spark 的投稿,文中指出某些由第三方渠道下載的 XcodeGhost 編譯器其實暗藏惡意程式碼,透過其編譯的軟體通通自帶後門,以小型木馬的形式潛伏在用戶的 iDevice 當中。
在那之後,安全專家 Palo Alto Networks 對此事進行了深挖,並且發現在大陸用戶量很高的網易云音樂已經中招。除此之外,一些獨立開發者也開始了測試,結果令人不寒而慄,包括 12306、中國聯通手機營業廳、中信銀行動卡空間、同花順、高德地圖、滴滴出行、簡書等在內的多款大牌軟件居然都沒能倖免。
消息一出,網路上一片嘩然。雖然事實證明木馬指向的伺服器已經停止收集信息,但只要你之前在受影響的應用內進行過內購,相關的密碼或是指紋數據就都已不再安全,建議立即更改並啟用 Apple 的兩步驗證功能。而對開發者來說,請認準 App Store 這個唯一可靠的 Xcode 下載通道。出事的服務官方,別的不說,至少請先拿出點擔當吧...
