?在外界印象里，封閉的系統(tǒng)生態(tài)和嚴格的審查制度，使得蘋果設(shè)備似乎有天然防御危機的屏障。但事實上，蘋果的安全防御機制比想象的更加脆弱。

2013年，只用了不到30秒，國內(nèi)白帽子團隊KeenTeam就遠程破解了當時蘋果最新的操作系統(tǒng)iOS7.0.3，獲取了該手機中的照片。2014年紐約舉辦的黑客大會上，安全專家喬納森·扎德爾斯基展示了如何利用存在于iOS后臺的“后門”服務(wù)，從iPhone中提取出大量數(shù)據(jù)。
安全領(lǐng)域從業(yè)人員一次次破解蘋果成為展現(xiàn)技術(shù)最好憑證，但對普通用戶來說，最近一次起廣泛關(guān)注的是9月18日。當天，漏洞報告平臺烏云網(wǎng)和硅谷安全公司Palo Alto均發(fā)布安全預(yù)警，蘋果應(yīng)用商店上架的網(wǎng)易音樂云等應(yīng)用被注入第三方惡意代碼，用戶信息或早泄露。

iOS開發(fā)者和安全行業(yè)人士開始紛紛查找受影響的App。騰訊安全應(yīng)急響應(yīng)中心日后披露，其曾發(fā)現(xiàn)AppStore中已有76款應(yīng)用被感染。

Twitter用戶@fannheywrd（愛微創(chuàng)想iOS開發(fā)主管）爆料稱，受影響的App已蔓延至火車訂票應(yīng)用12306和中信銀行卡動卡空間。一時間，網(wǎng)絡(luò)流傳出多種安全解讀和提醒，獵豹移動安全專家甚至提醒用戶考慮修改密碼和支付方式。

事情的轉(zhuǎn)機出現(xiàn)在19日上午。一個名為“XcodeGhostSource”的賬號在代碼退管網(wǎng)站GitHub發(fā)布“關(guān)于所謂‘XcodeGhost’的澄清”一文中稱，惡意代碼源自個人實驗，因10天前已關(guān)閉服務(wù)器，并刪除所有數(shù)據(jù)，已消除影響。不過，記者瀏覽發(fā)現(xiàn)，該賬號為新注冊賬號，注冊時間為2015年9月19日。

有業(yè)內(nèi)人士告訴記者，該作者并不希望被外界知道其身份。也正因為此，這份澄清聲明的真實性引發(fā)業(yè)界熱議。不過，這一聲明獲得多個安全領(lǐng)域?qū)＜肄D(zhuǎn)發(fā)。

然而，危機尚未解除。有業(yè)內(nèi)人士回憶，Unix之父Ken Thompson在獲得圖靈獎發(fā)表感言時曾稱，在編譯Unix代碼的C編輯器里留有“后門”。蘋果iOS操作系統(tǒng)是屬于類Unix操作系統(tǒng)。該業(yè)內(nèi)人士提醒，在對此次事件分析時發(fā)現(xiàn)，借助這一漏洞，黑客在獲得遠程控制權(quán)限后，可以向“中標”手機下發(fā)任意指令。

騰訊安全應(yīng)急響應(yīng)中心稱，9月16日已向蘋果官方同步應(yīng)用被感染情況。

9月19日，蘋果向被感染手機程序開發(fā)者發(fā)出下架通知，建議手機程序編寫者下載正版開發(fā)工具，重新編譯相關(guān)程序后上傳至AppStore。

以越獄出名的盤古團隊也在當日發(fā)布了一款XcodeGhost檢測工具。該團隊稱，已檢測到超過800個不同版本的應(yīng)用受到感染。不過，該消息未能得到蘋果或第三方證實。

與以往惡意程序自身攜帶病毒不同，這次安全事件中，黑客第一次把惡意代碼嵌入蘋果應(yīng)用開發(fā)的源頭，欺騙對象轉(zhuǎn)向開發(fā)者。對普通用戶而言一旦使用了感染的App，其數(shù)據(jù)將上傳至黑客指定網(wǎng)址，而一旦有App要求用戶輸入賬戶密碼等隱私數(shù)據(jù)，隱藏在背后的灰色產(chǎn)業(yè)暴利相當驚人。

烏云平臺已陸續(xù)曝出多起蘋果系統(tǒng)級高危漏洞，在此次后門漏洞曝光過后，人們的確應(yīng)當意識到，蘋果并非永遠安全的手機。

黑客利用設(shè)備信息可用于遠程控制

代碼分析結(jié)果顯示，上報的信息包括App版本、App名稱、本地語言、iOS版本、設(shè)備類型和國家碼等信息。這些信息雖然不涉及到個人用戶的隱私，但是可以精準地對不同的iOS設(shè)備進行區(qū)分。未經(jīng)證實的前述聲明也表示，其代碼可以獲取的只有App的基本信息。

這意味著，通過上報信息區(qū)分每一臺iOS設(shè)備后，黑客可以通過iOS openURL這個API隨時隨地給任何人下偽協(xié)議指令。

“這時候黑客已經(jīng)可以控制你的手機，達到他想要做的任何事情。”有安全專家向記者解釋，“瀏覽網(wǎng)頁、打電話發(fā)短只是最常見的功能，甚至可以對具備該偽協(xié)議的第三方App進行操作。”

不僅如此，黑客還可以控制彈出任何對話框，對用戶進行誘導(dǎo)進行更進一步的安全危害。騰訊安全應(yīng)急響應(yīng)中心甚至發(fā)現(xiàn)，利用該惡意代碼的漏洞甚至可以被中間人攻擊。后者是一種黑客常用的古老攻擊手段。

此外，騰訊安全應(yīng)急響應(yīng)中心還發(fā)現(xiàn)，除了已使用的上報域名地址“icloud-analysis.com”，此次還發(fā)現(xiàn)了其他三個尚未使用的域名。如果不是及時遏制，其影響范圍可能進一步擴大。

開發(fā)者下載官方版本難引出黑產(chǎn)尋利

XcodeGhost被大規(guī)模發(fā)現(xiàn)之前。國家互聯(lián)網(wǎng)應(yīng)急中心曾在9月14日發(fā)布過預(yù)警通報。該通報稱，檢測中發(fā)現(xiàn)開發(fā)者使用了非蘋果官方渠道的Xcode開發(fā)工具，而該工具中被植入惡意代碼。

事實上，作為蘋果官方開發(fā)工具，Xcode可以免費從應(yīng)用商店下載。那么為什么有開發(fā)者選擇了非官方渠道？

受訪的多數(shù)蘋果開發(fā)者告訴記者，原因只有一個，就是官方渠道下載速度非常慢。猿題庫iOS開發(fā)工程師唐巧在社交網(wǎng)絡(luò)上稱，“每次下Xcode花個幾十分鐘非常正常，這才造成大家都用迅雷和百度網(wǎng)盤這種非官方渠道”。

互聯(lián)網(wǎng)的云存儲服務(wù)只是提供了一個更為方便的下載渠道。有消息稱，此次安全危機的始作俑者的網(wǎng)名為“coderfun”，攜帶惡意代碼的Xcode壓縮文件上傳至百度網(wǎng)盤后，將下載鏈接先后發(fā)布到多個開發(fā)者聚集的社區(qū)、下載站等。騰訊安全應(yīng)急響應(yīng)中心稱，“coderfun”還是用了“Imznet”、“jrl568”等ID傳播下載鏈接。

據(jù)悉，惡意代碼被隱藏在了一個名為“CoreService.framework”的“系統(tǒng)組件”內(nèi)，而官方下載的安裝包并不存在這個目錄和“系統(tǒng)組件”。

獵豹移動安全專家李鐵軍告訴記者，“黑產(chǎn)”希望通過收集用戶信息，以便廣告投放，后者存在利益空間。由于蘋果限制比較多、審查比較嚴格，常用模式無法運行，因此只能從開發(fā)環(huán)節(jié)突破。盡管是有限的個人信息，但仍然有商業(yè)價值。

所謂“黑產(chǎn)”，就是指靠收集個人信息，出售個人信息牟利的一群人。

漏洞會引發(fā)蘋果信任危機嗎？

事件發(fā)生后，幾家涉事公司紛紛提出了自己的。騰訊選擇了更新版本，并且在發(fā)現(xiàn)bug的第二天，即9月13日已完成替換。9月18日下午15時，網(wǎng)易云音樂通過社交網(wǎng)絡(luò)發(fā)布公告解釋了發(fā)生危機的原因。

盡管蘋果最終在19日下架受感染應(yīng)用，但李鐵軍表示，唯一的方法是等待開發(fā)者重新發(fā)布安裝包替換。用戶可以選擇卸載，或者等待升級更新。

但蘋果在漏洞發(fā)生后一段時間的失語，讓外界有了更多的猜測。隨著自媒體的發(fā)酵以及更多的人加入討論，該漏洞被更為深入地解讀。雖然并未沒有直接的證據(jù)指出，該漏洞會竊取與財產(chǎn)相關(guān)的個人賬號信息，但由于此次“中招”App包括火車訂票軟件和銀行軟件，所以也有分析稱，用戶的財產(chǎn)安全或受到威脅。

一旦有App要求用戶輸入賬號密碼，這背后隱藏的灰色暴利將會相當驚人。中國漏洞庫專家委員會蔡晶晶接受中央電視臺采訪表示，正常用戶訪問的一次點擊廣告的價值是1至2元人民幣，一個億用戶量每個用戶推送一個廣告，我們知道背后的價值有多達，這就是傳統(tǒng)意義上的黑色產(chǎn)業(yè)鏈。

截至發(fā)稿時，中國市場并沒有更進一步爆發(fā)新的安全事件，也沒有相關(guān)信息和財產(chǎn)損失的報告 。多位受訪安全人士判斷，此次危機主要是對開發(fā)者發(fā)出了警告，敦促其避免使用來歷不明的開發(fā)工具，相反對用戶而言，影響并不大。

不過，也有分析人士指出，蘋果消極對待，也沒有對開發(fā)者和用戶及時發(fā)出提醒，或使其聲譽受損，甚至?xí)斐筛蟮男湃挝C。