發(fā)生在蘋果iOS平臺(tái)的XCodeGhost木馬侵入事件再次發(fā)酵。據(jù)美國媒體23日報(bào)道，美國安全研究人員最新公布，此次事件中受感染的應(yīng)用遠(yuǎn)比此前所報(bào)道的多，并且事發(fā)時(shí)間可以追溯到今年4月。

“XCodeGhost的擴(kuò)散范圍遠(yuǎn)比起初預(yù)計(jì)的大，”美國移動(dòng)應(yīng)用安全公司Appthority的安全人員當(dāng)?shù)貢r(shí)間周一公開發(fā)文表示， “我們已經(jīng)從數(shù)據(jù)庫中確認(rèn)了476個(gè)被感染的app，這比最初預(yù)計(jì)的40個(gè)多太多。”

根據(jù)Appthority公開的一張圖標(biāo)顯示，感染最早暴發(fā)于今年4月，感染數(shù)量在隨后的5個(gè)月持續(xù)增長。目前最讓人們感到驚訝的就是，如此大量的應(yīng)用竟然能夠突破蘋果一直以來引以為傲的安全防線，并且持續(xù)感染時(shí)間跨度長達(dá)數(shù)月。同時(shí)，另一家安全公司FireEye的研究人員甚至發(fā)文稱，已經(jīng)找到4000個(gè)被XCodeGhost感染的iOS應(yīng)用。不過，兩家公司均沒有公布受感染應(yīng)用的名單，也沒有指明這些應(yīng)用是否主要集中在中文用戶。

不過，這個(gè)壞消息發(fā)布的同時(shí)，安全人員也帶來了好消息：受感染的應(yīng)用更多和惡意廣告軟件相關(guān)，而非安全入侵惡意軟件。

Appthority指出，此次XCodeGhost對用戶設(shè)備和企業(yè)安全的實(shí)際打擊很低，至少現(xiàn)在沒有成為直接的安全威脅。“根據(jù)我們對感染應(yīng)用的相關(guān)行為進(jìn)行風(fēng)險(xiǎn)分析，我們認(rèn)為把XCodeGhost歸類為惡意廣告軟件更合適。理論上來說，在該代碼中加入有害行為信息并不難，但從目前我們的分析來看，XCodeGhost的作者選擇了不植入這類有害行為。”

其研究人員表示，目前并沒有證據(jù)顯示XCodeGhost感染的應(yīng)用有跟蹤用戶并泄露其iClond或其他服務(wù)密碼等信息的能力。對被感染應(yīng)用的進(jìn)行分析后發(fā)現(xiàn)，它們主要有幾種能力：向服務(wù)器發(fā)送請求；請求中包含了所有設(shè)備的識別碼（類似典型的跟蹤體系）；接收到的應(yīng)答能激發(fā)不同的行動(dòng)，比如利用SKStoreProductViewControllerDelegate協(xié)議在某個(gè)app中顯示AppStore并誘導(dǎo)下載（正如我在此前文章中所說，制造這個(gè)特洛伊的人，目的之一就是掙錢，但偷手機(jī)用戶的錢很難，最好的辦法就是幫人推app來變現(xiàn)）、彈出警告框或彈出Appstore、打開URL、一定時(shí)間內(nèi)維持休眠狀態(tài)。

此外，研究人員稱，和目前多數(shù)報(bào)道中信息不符的是，該襲擊體系本身并沒有包含顯示登錄彈窗或任何能發(fā)出釣魚警告的編碼。唯一能發(fā)起釣魚襲擊的方法，就是把應(yīng)答發(fā)送到并打開一個(gè)指向惡意網(wǎng)站的URL。就是說，那段加載編譯進(jìn)去的源碼根本沒法實(shí)現(xiàn)監(jiān)控手機(jī)遠(yuǎn)程拿你手機(jī)打電話等等，它能獲取的就是部分版本的app裝載了他的代碼而已，然后根據(jù)這個(gè)app的特性推送給你廣告而已。

蘋果方面也在其官方博客中指出，目前沒有證據(jù)顯示任何app被惡意使用，基于此，安全專家在接受美國媒體采訪時(shí)認(rèn)為，XCodeGhost并沒有很多用戶所擔(dān)心的那么可怕。

盡管尚未造成嚴(yán)重后果，Appthority也提醒，此次事件也證明了用新代碼去感染多個(gè)AppStrore的應(yīng)用以及逾越其審查流程已經(jīng)成為可能。