iOS数款App“中招”恶意代码 苹果受害者该怎么办？

今日，有网友在微博上爆出，iOS数款应用“中招”恶意代码，可能致使用户信息泄露。虽然此前苹果系统已多次爆出隐私泄露等安全问题，但此次中国用户受影响规模之大实属首次，以安全性著称等苹果系统再次引人质疑。

恶意代码运行流程

已被证实“中招”的iOS 版网易云音乐、滴滴打车等应用因使用非官方渠道下载的Xcode开发环境，致使应用“感染”恶意代码XcodeGhost。感染后，应用会自动收集并发送信息至远端服务器 init.icloud-analysis.com。

恶意软件作者把嵌入恶意代码的Xcode上传到第三方站点，并进行诱导性推广。苹果应用开发者从第三方下载Xcode后，使用这个已注入恶意扩展代码的开发环境进行开发，编译生成的IOS应用天然带毒，全成了内置间谍功能的“正常”软件，被植入恶意程序的应用可以在App Store正常下载并安装使用，开发者和用户都浑然不觉。

附注：上图来自底层逻辑的好朋友王小瑞

已被注入恶意代码的App

目前经网友分析，至少有新版网易云音乐、中信银行动卡空间、12306、高德地图、中国联通手机营业厅、简书、开眼、网易公开课和滴滴打车等应用被注入 XcodeGhost 代码。

对用户的影响

虽然网易云音乐已回应称“应用只上传系统信息，不涉及用户信息。”但安全专业人士警告：不能排除受感染应用的使用风险。对普通用户而言，这段时间不要用这些App进行支付和订单有关的操作，可以更改iCloud、支付宝等支付密码。如果完全不放心先删除掉这些App直到下次应用更新。

APP开发管理流程不规范或执行不严导致应用被“感染”

无论是使用黑苹果（非苹果机上安装的破解版OS X系统）开发，还是使用第三方下载的Xcode，都属于不规范的开发流程。同一公司同一开发环境输出的其他App似乎很难避免不受影响，“中招”应用可能远远不止现在已被发现并报告的若干个案。

事件时间线梳理

实际上，国家互联网应急中心9月14日已经发布“关于使用非苹果官方XCODE存在植入恶意代码情况的预警通报”；9月17日，乌云网和硅谷安全公司Palo Alto发布安全预警提醒开发者小心，并指出XCodeGhost虽然没有非常严重的恶意行为，但是这种病毒传播方式在iOS上还是首次。9月18日，“XCodeGhost”事件通过Twitter、微博引发讨论，苹果用户开始恐慌。

而按照苹果App正常审核至少需要1周的时间估算，这次XcodeGhost的问题可能9月初就已经出现。