蘋果App Store在20日傳出有史以來最大規模的惡意程式入侵事件,遭竄改的開發工具Xcode在中國網路上流竄,許多開發人員因此不察,使用遭感染的開發工具撰寫應用程式(app)。資安公司「三六○涅槃團隊」指出多達344個app因此受害,如聊天軟體「微信」、叫車服務「滴滴打車」等,影響使用戶估計破億!蘋果忙著將相關app下架,目前並未發現有用戶敏感資料遭竊。
多家資安公司於上週末通報這起漏洞,美國資安公司「帕拉奧圖網絡(Palo Alto Networks)」指出,這是首起以開發工具針對蘋果App Store的攻擊事件。Xcode是蘋果提供的開發工具,但在中國從蘋果官網下載耗時甚久。駭客便看準中國開發人員急切的心態,將植入惡意程式的Xcode放在雲端硬碟「百度雲盤」上傳佈,如此寫出來的app自然中招,更騙過了蘋果一向嚴密的app審核程序,阿里巴巴移動安全公司則將此惡意軟體稱為「XcodeGhost」。
帕拉奧圖網絡在官網公佈約有200個app受感染,但三六○涅槃團隊表示,在掃描14.5萬個app後,發現有344款遭到感染。受害的包括在全球有5億活躍用戶的微信,蘋果在中國智慧型手機市場市佔率則達15%;另外還有中國鐵路總公司官方訂位app「12306」,以及網易的音樂應用app、電信商中國聯通客戶服務app等。
中招的app會上傳用戶裝置訊息,並製造假警報,進而竊取iCloud密碼,或存取用戶的剪貼簿內的訊息。蘋果指出該款開發工具來自「不可靠的來源」,20日稍晚也發表聲明表示,為保護使用者,已將使用該款開發程式的app下架,並與開發商合作中,確保其使用的是適當的Xcode。
微信開發商「騰訊」則表示,沒有發現任何資料遺失或金錢損失,將持續監督,新版微信已重新上架。至於此次事件幕後黑手為何人,是否可能是中國政府所為?帕拉奧圖網絡表示,目前未有足夠證據證明始作俑者。
市調公司歐睿國際(Euromonitor International)消費電子主管羅偉泰則認為,這不會對未來蘋果產品的銷售有重大影響,因為惡意軟件從個人電腦時代早就存在,但消費者對行動裝置的安全意識較弱,在中國或越南等新興市場,行動裝置消費者的隱私與安全保護也較為不足。