許多臺灣人因為經商頻繁或朋友往來中國之故，在手機上安裝許多中國的手機應用程式或服務。除了 Android 平臺手機品牌小米、華為等，通常許多臺商最信賴的就是 Apple 的 iOS 裝置，如 iPhone 或 iPad 等。這樣的信賴是建立在 AppStore 審查的應用程式，通常保證了一定的穩定性與安全性。但在本週，這種信賴恐怕將產生了變化。

知名的開放資訊安全中文漏洞報告平臺 Wooyun 在 9 月 17 日披露了部分 iOS Apps 可能存在安全性問題，這些 Apps 會在使用時自動向特定網站上傳資訊。這些 Apps 都是以受到第三方原始碼污染的 Apple 開發工具 Xcode 所編譯，因此編譯完成的 Apps 的包裝里帶有(通常稱做被注入木馬)第三方放入的特定資訊。進而產生上述的安全問題。

這個問題可能主要源自于中國境內目前的“實體網路管制”。雖然 Apple 的開發工具 Xcode 是幾近免費提供給所有的開發者，其要求 Apple 的開發者需要具備可以運作 Mac OSX 的電腦(也就是 Apple 的 PC 或 Notebook)，如果要公開發布 Apps，則需負擔每年約 3000 元新臺幣的開發者帳號，但因許多中國開發者在連往位于美國的 Apple 伺服器下載 Xcode 時，會受到中國目前實體網路存在有俗稱為網路長城的過濾機制干擾，導致下載速度十分緩慢，甚至容易斷線。

這些開發者可能就會選擇其他開發者事前已經下載完畢，并儲存在中國境內流行的云儲存服務，例如百度云的網路空間上。這些轉向下載的行為讓木馬開發者有了動手腳的空間，將經過第三方原始碼污染的 Xcode 放在百度云上，再透過中文的開發者論壇或微博的傳散，將有問題的開發者工具 Xcodeghost 散布給中國眾多的 Apple 開發者，按照 Wooyun 知識庫所稱，這可能是在許多中文 iOS 論壇與微博中，網名 codefun 的個人或團體所為。

（圖說：這次的XcodeGhost事件，主要可能因為中國網路長城的管制造成開發者誤用了非官方的污染開發套件）

開發者使用 XcodeGhost 進行開發并編譯 apps 時，apps 會自動包含一段程式碼，取得 iPhone 或 Apps 的一些基本資料，包含時間、Apps名稱、Apps的bundle ID(Apps程式包ID)、Apps名稱、作業系統版本、手機型號、手機版本別、系統語言、國家等，并將上述這些欄位資料上傳至 init.icloud-analysis.com，這是放毒者所注冊用于蒐集上述資料的網址，目前該站與伺服器已經關閉，并且很難查出相關的注冊資訊。

這些蒐集資訊的行為對于 Apps 開發商來說是很正常的過程，因此 Apple 的 Appstore 在隱私權保護的範圍內并不會太過關心這樣的程式碼，也因此受到污染的 Xcodeghost 可以橫行一段時間。

為了避免在網路上下載相關的應用程式有被污染之嫌，一種常見的作法，是透過特定的演算法對下載完成的檔案演算出特定獨一無二的號碼，與網站所公布的進行校驗比對。但這樣仍有可能無法防止假冒或惡意散布被污染過的程式橫行。

本次已經知道受到 XcodeGhost 所影響的 iOS 平臺應用程式，主要包含臺灣人常用的微信、名片全能王、滴滴出行(原滴滴打車，本月份升級改名)、12306(中國鐵道部票務應用程式)、掃描全能王(CamScanner)、微博相機、豆瓣閱讀、高德地圖、中國聯通手機營業廳、中信銀行動卡空間(大陸中信銀行客戶之行動銀行專用應用程式)等等。

微信團隊在其官方微博上面做出的公開聲明表示：“目前確認Xcodeghost所影響的問題存在于微信 iOS 6.2.5，建議使用者可以盡快透過升級微信應用程式修復。目前沒有發現這個問題造成用戶的直接影響，包含資訊或財產的直接損失，但微信團隊仍會持續關注和監測。”

滴滴出行也在其官方微博發表聲明，表示團隊在第一時間得知就已經處理這個發生于 4.0 版本“滴滴出行”的問題：“已經在 9月 19日更新為 4.1.0 版，大家可以更新新版和放心使用。感染源的伺服器已經被關閉，不會再產生任何威脅”

根據資安廠商 Polo Alto Network 的整理，透過不同的網站報導或資訊安全公司測試，以下的 iOS 應用程式(不計游戲類)已經確認受到污染，污染範圍可能會隨著測試增加逐漸擴大。

具稱是 XcodeGhost 的原始作者在微博上澄清表示，這個 XcodeGhost 其實是他自己的資訊安全技術實驗，他發現修改 Xcode 編譯設定腳本可以加上使用者自己指定的程式檔案，所以他寫下了這個程式測試，并上傳到自己的網路空間上。他表示，除了上述的基本應用程式資訊外，他另外在程式里加入了網路廣告的功能，希望將來可以推廣自己的應用程式，但他實際上并未使用過廣告功能，且已經刪除所有數據，希望不會對任何人有任何影響。隨后，作者并將其本次實驗所有的程式碼公布在 Github 上。

《數位時代》建議讀者，可以將你手中常用的 iOS 中國市場應用程式整理成幾個專用的資料夾，時常透過更新注意這些應用程式背后的團隊，是否已經快速針對這個問題進行處置。這個事件也通常提醒許多大型軟體與服用應用開發商，應該成立專責的團隊，針對開發與部屬環境進行嚴苛的控管、測試與整理。

文章來源：機房監控 http://www.28ut.com