主页 / 产品 > 软件 > 正文

微信iOS6.2.5版也中招 需升级补漏洞

2015-09-19 20:27:46   来源:科技生活在线   评论:0   [收藏]   [评论]
导读:小编按:昨日晚间,腾讯微信团队官方微博发布声明称,微信iOS 6.2.5版本存在严重漏洞,新版本已修复,需要用户升级微信,但微信官方并有没公布漏洞的详情。
\

  昨日,安全漏洞报告平台乌云发布报告称,有病毒开发者在给苹果手机的开发工具Xcode内写入了一些病毒代码,这导致了App Store里12306、网易云音乐、高德地图等常用的App中招。

  正在网民们对个人信息安全担忧之时,昨日晚间,@腾讯微信团队 官方微博发布声明称,微信iOS 6.2.5版本存在严重漏洞,新版本已修复,需要用户升级微信,但微信官方并有没公布漏洞的详情。

  目前尚未发现由用户因此造成信息或者财产损失,但是微信团队将持续关注和监测。(无双)

  以下为微信官方声明全文:

  目前,网上传播微信6.2.5版本存在严重漏洞的说法,微信团队说明如下:

  1.该问题仅存在iOS 6.2.5版本中,最新版本微信已经解决此问题,用户可升级微信自行修复,此问题不会给用户造成直接影响。

  2.目前尚没有发现用户会因此造成信息或者财产的直接损失,但是微信团队将持续关注和监测。

  3.微信技术团队具备成熟的“反黑客”技术,一旦发现黑客攻击,将第一时间做出技术对抗并及时锁定黑客具体信息,配合公安机关打击相关违法犯罪活动。

  4.用户在使用微信过程中有任何问题,可通过微信公众号“微信团队”向我们反馈。

  背景+

  阿里巴巴移动安全专家近日在乌云平台上传的一份安全报告称,通过第三方渠道下载的iOS开发工具Xcode被植入了恶意代码,用该恶意Xcode编译的App会泄漏手机隐私信息,并将这些信息上传到病毒作者的服务器上。多家互联网公司18日晚间发表了回应。

  根据阿里移动安全专家的这份报告,用户被上传的信息主要是时间、应用名称、系统版本、语言、国家等信息。此外,受感染的App可能会弹出钓鱼网站,或诱导用户安装下载其他应用等。

  据阿里移动安全团队从应用市场中发现,多款热门应用存在该问题,扫描出的结果中也证实了网友上报的部分案例。截至18日深夜,已发现被植入恶意代码的iOS应用包括:部分版本的微信、12306、高德地图、网易云音乐、滴滴出行、中信银行动卡空间、同花顺、下厨房等。

  阿里移动安全提醒,为避免信息泄漏,建议用户及时删除中毒App,待更新升级确认安全后再安装使用。开发者如需使用开发工具,建议从苹果官方渠道下载Xcode。也有安全专家建议用户尽快修改Apple ID密码。

  据悉,阿里移动安全团队通过进一步分析发现,2015年初就有XCode6.1-6.4版本被插入恶意代码并提供下载,预计大量苹果系统的App应用已受此问题影响。目前感染源制作者的服务器已关闭,暂时不会有更多影响。

  多家互联网公司18日先后对此发表了声明。

  腾讯微信团队通过认证微博发表回应称,该问题仅存在微信的iOS 6.2.5版本中,最新版本微信已经解决此问题,用户可升级微信自行修复。

  “目前尚没有发现用户会因此造成信息或者财产的直接损失,但是微信团队将持续关注和监测。”微信方面在回应中说。

  网易云音乐对此回应称,此次感染涉及的信息皆为产品信息,无法调取和泄露用户的个人信息。

  滴滴公司18日晚间发出声明表示,用户的个人信息不会受到任何泄露及影响,与此同时,滴滴出行正第一时间更新新版App。

  19日早间,高德公司回应称被此次受影响的仅有高德地图7.3.8版本,已第一时间提交新版本正在等待苹果商店审核通过。

  阿里移动安全认为,虽然此次XCodeGhost尚未有严重的恶意行为,但是这种通过开发工具植入恶意代码的病毒传播方式,在iOS上还是首次,值得警惕。

  评论+

  中国的苹果用户遇上大事了。

  之所以要强调中国,是因为这次大规模爆发的苹果病毒(严格来说是一种后门漏洞)XcodeGhost,主要影响中国大陆人。

  先说你们最关心的后门症状(其实这个描述了也没卵用,后面你就知道为啥没用了)。根据乌云知识库里用户@蒸米 的描述,所有中招的苹果App,会收集一些iPhone和app的基本信息,包括:时间,bundle id(包名),应用名称,系统版本,语言,国家,然后发送到一个仿冒苹果的网站(http://init.icloud-analysis.com )上。这些收集和发送动作都是后台进行的,所以其实你们不会觉察到任何异常。

  目前看来这些信息还不算太敏感。但有技术人员透露,这个后门也可能有一些代码(未确认!),用来向用户弹出要求登录苹果ID的请求框。而这一段代码并不是每次都出现的,也就是说,现在可能还没被监测到。苹果ID泄露了会怎么样,请大家自行Google“好莱坞艳照”。

  有哪些App中招了呢?很不幸,微信iPhone版,6.2.5,已经确认。微信团队昨晚(9月18日)21:43分通过官方微博承认了这一点:“网上传播微信6.2.5版本存在严重漏洞的说法,微信团队说明如下图:1.该问题仅存在iOS 6.2.5版本中,最新版本微信已经解决此问题……”

  这就是淼叔说的“即使描述了中招症状也没卵用”的原因。微信是国民App,在相对高端的苹果用户群体里应该更是必备应用。它都中招了,你还不得改Apple ID密码,没商量么。这也是我一开始说的“主要影响中国大陆用户”的第一个原因。第二个原因是什么?往下看。

  这个后门是怎么产生的呢?大家知道,开发苹果iPhone上的App,有一款工具必不可少,就是苹果自家出的Xcode。它要负责把源代码编译为可执行的App,开发者才能把App上传到苹果应用商店后台,经过苹果官方审核后,App在应用商店App Store上架,正式开放下载。

  这次的问题就出现在Xcode上。后门制作者制造了一个“加料版”Xcode。凡是用这个Xcode编译的App,里面就都会带有本文一开始介绍的那个功能,自动发送用户信息到一个仿冒服务器上。

  这是相当高明的一个做法。普通病毒靠用户和用户之间传播,速度再快,也受社交网络关系的限制,也可能被第三方厂商查杀(因为这些厂商可以比对中毒文件与官方文件的差别)。但把病毒或者说后门植入到Xcode这个必备工具里,就从源头污染了所有官方的App,比用户之间传播效率高多了。这些App有再不正常的举动,也只能让用户和安全厂商以为这是官方设定,而不是病毒所致。

  有人要问,那直接从苹果官方下载Xcode不就行了吗,明明该工具是免费的,用盗版也没动力呀。其实吧,还真有动力。因为吧这个工具的体积不小,有2G多。而在中国大陆连接苹果服务器下载这个软件呢,据一些码农朋友哭诉,几分钟十几分钟就会断线一次,还有下了通宵然后最后断掉的。所以不得已就只能去一些软件下载站寻找替代办法。根据上述乌云帖子的分析,制毒者一开始也正是通过百度网盘散发带毒Xcode的链接,从而引发扩散的。

  至于为啥下载Xcode会这么慢呢?淼叔不敢明说,只知道其他国家好像很少人抱怨这个问题,似乎又是一个“中国国情”。具体原因,您可以自行Google“SICK四国”。

  所有中招的用户能做什么呢?

  首先就是更改苹果的Apple ID密码,就是你在App Store里购买APP时要输入的那个密码,也是你登录iCloud时输入的密码。其次,根据西祠胡同和孢子社区创始人@响马 的建议,如果你在中招APP中输入过信用卡帐号,进行过购买或者说内购行为,那就换信用卡吧。淼叔仔细回想了下,我应该是没在这类App里输入过信用卡,因为我一般直接在苹果官方商店里充值……

  最后,来看看还有哪些App中招了吧。你会发现不少熟悉的面孔呢。知乎用户李浩宇建立了一个Google在线文档列表,随时更新这些中招App的名字和验证方式。例如,网易云音乐和豌豆荚开眼已经官方确认了中招,但更多的App还是靠网友自己抓包分析出来的(详情点击:文档地址超链接)当然,根据我前面说的原因,这个网址中国大陆用户是打不开地。

  这个列表中,我们看到,网易云音乐、滴滴出行、高德地图、下厨房、12306、喜马拉雅、简书、同花顺、中国联通手机营业厅都赫然在列。不过我还是说一句,只要你装了微信,那这个表看不看意义不大了……反正都得换。

  关于这次大规模爆发的苹果iPhone后门事件,淼叔会随时在山寨发布会的微信公众号上更新动态。因为山寨发布会里各家公司的代表基本都在,他们会及时确认自家App是否中招,以及评估可能出现的损失。

  这是最权威的更新发布,都会及时更新在公众号里。大家对山寨发布会微信公众号回复一个“ghost”或者“动态”,就能看到最新动态。(阳淼 虎嗅网)

分享到:
责任编辑:

网友评论