騰訊科技訊 9月18日，據烏雲網和(hé / huò)矽谷安全公司Palo Alto發布安全預警稱，在(zài)App Store上(shàng)架的(de)網易雲音樂等多個(gè)應用被注入Xcode第三方惡意代碼，會将用戶信息發送到(dào)病毒作者服務器。

烏雲網稱，開發者用了(le／liǎo)非官方渠道(dào)下載的(de)Xcode編譯工具，導緻所開發的(de)應用被注入了(le／liǎo)第三方代碼，會主動向一(yī / yì ／yí)個(gè)網站上(shàng)傳應用和(hé / huò)系統的(de)基本信息。網易雲音樂最新版v2.8.3已經感染病毒。

iOS應用開發者告訴騰訊科技，Xcode是(shì)蘋果官方開發工具，但有“黑産”會提供第三方下載源，并以(yǐ)“官網下載繁忙”吸引開發者從其提供的(de)渠道(dào)下載。通常被植入惡意插件的(de)工具會僞裝成官方版本。

Twitter用戶@fannheyward 爆料稱，受影響的(de)除了(le／liǎo)網易雲音樂外，還包括12306、中信銀行動卡空間等應用。@fannheyward 爲(wéi / wèi)愛微創想的(de)iOS開發主管。

目前，第三方惡意代碼所指向的(de)惡意網站init.icloud-analysis.com已關閉，據了(le／liǎo)解該域名爲(wéi / wèi)病毒作者申請，用于(yú)收集數據信息。

獵豹移動安全專家李鐵軍(微博)告訴騰訊科技，這(zhè)是(shì)對開發工具改造造成的(de)危機。由于(yú)該病毒會收集包括時(shí)間，bundle id(包名)，應用名稱，系統版本，語言，國(guó)家等，并上(shàng)傳，所以(yǐ)在(zài)某種程度上(shàng)會洩露隐私。

不(bù)過，由于(yú)蘋果本身權限限制比較嚴格，這(zhè)類信息的(de)洩露相對來(lái)說(shuō)，威脅并不(bù)嚴重，而(ér)且用戶不(bù)用過分擔心帳号安全。

李鐵軍表示，目前唯一(yī / yì ／yí)解決問題的(de)方式是(shì)，隻能等待開發者重新發新的(de)安裝包替換。對用戶來(lái)說(shuō)可以(yǐ)選擇卸載應用，或者等待升級更新。

對于(yú)爲(wéi / wèi)什麽會對Xcode植入惡意代碼，李鐵軍表示，“黑産”希望通過收集用戶信息，以(yǐ)便廣告投放，後者存在(zài)利益空間。由于(yú)蘋果限制比較多、審查比較嚴格，常用模式無法運行，因此隻能從開發環節突破。盡管是(shì)有限的(de)個(gè)人(rén)信息，但仍然有商業價值。所謂黑産，就(jiù)是(shì)指靠收集個(gè)人(rén)信息，出(chū)售個(gè)人(rén)信息牟利的(de)一(yī / yì ／yí)群人(rén)。

【更新】

18日下午15時(shí)，網易雲音樂通過社交網絡發布公告稱，目前感染制作者的(de)服務器已關閉，不(bù)會産生任何威脅。

公告解釋稱，受非官方渠道(dào)開發工具XcodeGhost“感染”影響，iPhone端部分應用會上(shàng)傳産品自身的(de)部分基本信息。此次感染設計信息皆爲(wéi / wèi)産品的(de)系統信息，無法調取和(hé / huò)洩露用戶的(de)個(gè)人(rén)信息。

不(bù)過，對是(shì)否後續通過更換下載包解決問題，網易雲音樂并未做出(chū)正面回應。網易公關負責人(rén)表示，以(yǐ)公告内容爲(wéi / wèi)準。

以(yǐ)下爲(wéi / wèi)烏雲網發布的(de)安全預警報告：

不(bù)可信下載源Xcode包含惡意代碼預警（已有企業APP發布受到(dào)影響）

9月17日上(shàng)午，微博用戶@JoeyBlue_ 曝光稱，有開發者用了(le／liǎo)非官方渠道(dào)下載的(de)Xcode編譯出(chū)來(lái)的(de)應用被注入了(le／liǎo)第三方的(de)代碼，會向一(yī / yì ／yí)個(gè)網站上(shàng)傳數據。目前已知兩個(gè)知名應用被注入。

烏雲知識庫作者蒸米對注入的(de)病毒樣本“XcodeGhost“進行分析，确認了(le／liǎo)上(shàng)述說(shuō)法。經分析，該病毒會收集應用和(hé / huò)系統的(de)基本信息，包括時(shí)間、bundle id(包名)、應用名稱、系統版本、語言、國(guó)家等，并上(shàng)傳到(dào)init.icloud-analysis.com（該域名爲(wéi / wèi)病毒作者申請，用于(yú)收集數據信息）。

樣本文件中發現用以(yǐ)收集信息的(de)函數

18日上(shàng)午，矽谷安全公司Palo Alto跟蹤事件後發現國(guó)内知名應用網易雲音樂中招，當前App Store上(shàng)架的(de)網易雲音樂最新版v2.8.3已經感染病毒，會将手機隐私信息上(shàng)傳至病毒作者的(de)服務器上(shàng)（Palo Alto還發現存在(zài)更多收集數據的(de)域名）。

烏雲建議，使用非官方渠道(dào)下載Xcode的(de)iOS開發者請立刻展開自查，并對受影響版本進行處理。我們也(yě)會持續關注事件進展。

附檢查方法：

惡意Xcode包含有如下文件“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”；正常的(de)Xcode的(de)SDK目錄下沒有Library目錄（來(lái)自@JoeyBlue_）

其次，還應該檢測一(yī / yì ／yí)下Target->Build Setting->Search Paths->Framework Search Paths的(de)設置，看看是(shì)否有可疑的(de)frameworks混雜其中。