过去一周，苹果手机应用商店iOS APP Store遭遇有史以来首次大规模信息安全攻击，由于使用的伪造Xcode开发工具来自中国的一个服务器，数百款中文苹果应用被发现植入恶意代码。这其中既包括微信、滴滴打车、铁路12306等用户数目巨大的民生应用，也包括同花顺、工银融e联等较为专业的银行理财类应用。受此次事件影响的行业囊括了互联网、金融、电信、铁路航空、媒体等各个领域。

根据360公司9月19日发布的报告，在他们扫描的超过14.5万个iPhone应用中，共发现344款感染了名为XcodeGhost的病毒。腾讯安全应急响应中心（下称“腾讯安全”）的数据显示, App Store下载量最高的5000个应用中，有76款被感染。

“根据保守估计，受这次事件影响的用户数超过一亿。”腾讯安全在官网上的博文中写道。

由于苹果的手机系统较为封闭，且建立了严格的应用审核机制，人们普遍认为iPhone比安卓手机安全。但这次，黑客没有选择在手机上直接安装病毒，而是通过诱骗应用开发者使用伪造的iOS和Mac应用开发工具Xcode，堂而皇之地让恶意代码进入各家公司的官方应用。

长期以来，因为从苹果的官方渠道下载速度过慢，许多国内编程人员都是从百度网盘或迅雷等第三方渠道下载名为Xcode的iOS开发工具。正是看中了这一点，黑客从今年3月起大规模发放修改过的Xcode编译器。360公司、腾讯安全、猎豹移动安全实验室均认为，使用这种工具开发的APP会自动带上后门，拥有在感染的iPhone或iPad上弹出对话框窗口的权限，可骗取iCloud帐号密码或其他基础信息。

多家受影响企业在回应时，均表示自己已对应用版本做出更新，且感染源服务器已被关闭，目前尚未发现用户会因此造成信息或财产的直接损失。苹果公司也已发出通知，下架受影响的APP，只有重新编译、通过审核后的才能重新上架。

病毒何来

360公司攻防实验室负责人林伟介绍，在曝光前，此次事件背后的黑客或黑客团队已至少潜伏了半年。早在2月25日，黑客便注册了此次用来上传资料的网站init.icloud-analysis.com。3月13日起，黑客开始在网上大规模传播带后门的Xcode编译器。这些黑客不仅在网上发布下载地址，甚至会黑掉论坛版主，替换下几年前就已经存在的下载链接。“这些都是非常老道的专业黑客或团队，做得非常巧妙和隐蔽。”林伟评价说。

这种隐瞒一直非常顺利，直到有几亿用户的微信也用到了这批代码。9月10日，微信发布更新，加入了这个后门。根据360公司的说法，由于用户数瞬间增大，导致黑客的服务器被“压瘫”。微信的测试团队开始发现，其连接服务器的速度变慢。在修理过程中，XcodeGhost病毒终于公之于世。9月12日，微信发布清理后的新版本，并将此事上报国家互联网应急中心。

预感到问题的严重，黑客随即停掉了网站域名，并把服务器关停。“黑客现在应该不敢去服务器窃取这些数据。”林伟推测。

在9月18日发布的声明中，微信团队表示，“用户可升级微信自行修复，此问题不会给用户造成直接影响。”腾讯新闻发言人张军反复确认，在黑客关闭服务器以前，腾讯已确认，微信中的聊天和支付信息没有泄露。他同时表示，由于是第一时间发现，受影响的用户数少。

“这个漏洞没有大家想象的那么严重。因为第一次发生，所以大家很惊讶。”张军说。

于此同时，其它受影响的公司也发表声明。滴滴表示，受恶意代码影响的4.0 版本滴滴出行“不会涉及到用户隐私”，且“感染源的服务器已被关闭，不会再产生任何威胁”。

虽然此次后门发送的信息并不涉及核心私密，但大部分知名安全实验室同意，XcodeGhost病毒潜力巨大。9月19日，腾讯安全发布博文表示，通过上报的信息，黑客能够区分每一台iOS设备，“然后如同已经上线的肉鸡一般，随时、随地、给任何人下发伪协议指令，通过iOS openURL这个API（应用程序编程接口）来执行”。有了这个能力，腾讯安全认为，黑客将“不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还可以操作具备伪协议能力的大量第三方APP”。

林伟也认为，这个后门可以往手机推送控制命令，窃取iCloud的账户信息，取得里面存储的照片、短信、通讯录等文件。保守起见，他建议用户查看自己的APP版本是否受到影响，在更新后，修改受影响的APP和iCloud密码。

黑客是谁

自从微信团队发现了XcodeGhost病毒，寻找这个黑客便成了360团队的一个目标。

9月19日凌晨近3点，360网络攻防实验室在微博上公布了他们认为的黑客特征：“88年生，某工大本科，保送研究生，前程似景，集合各种语言开发能力，会画图，爱好文学，好骑自行车旅行，了解机器学习。”

两个小时后，一个注册于9月17日、名为“XcodeGhost-Author”的用户发表该账户唯一的一条微博，为此事道歉，并称XcodeGhost病毒“源于我自己的实验，没有任何威胁性行为”。声明称，自己虽然在病毒中加入了广告功能，但“并未使用”，且“已删除所有数据，更不会对任何人有任何影响”。

不过，360公司的林伟并不买账，认为此人只是在被揭穿后试图逃避责任。林伟认为，创造这个病毒只是“为了窃取用户信息”，360公司已就此事报警。

林伟同时说，虽然发生了这件事情，苹果系统还是比安卓要安全很多。此次黑客加入的恶意代码“并不算严格意义上的病毒和木马”，而是更接近于一个正常的发送功能，因此“苹果也没有办法防御这个事情”。

他告诫APP开发者，不要为了图一时之快，去非官方渠道下载开发软件，并且需要及时关注自己的应用是否连接了非官方服务器。

腾讯安全则认为，这件事带来的思考，远不止改变不安全的下载习惯这么简单。“经过这两年若干次攻击手法的洗礼后，我们更加清醒的意识到，黑产从业者早已不是单兵作战的脚本小子，而是能力全面的黑客团队。”腾讯安全在博文的末尾写道。“当然，这里的危机也是安全行业的机遇。”