如果最近使用了被感染 Xcode Ghost 病毒的應用，應該做些什麼？

12-24

近日有國內多個來源發現經過第三方途徑下載的 Xcode 開發環境，其編譯後應用會自動發送信息至 http://init.icloud-analysis.com 遠端伺服器，後該病毒命名為 XcodeGhost。目前，有 Twitter 網友使用 Charles 軟體分析得到，至少有新版網易雲音樂、中信銀行動卡空間、12306、高德地圖、中國聯通手機營業廳、簡書、開眼、網易公開課和滴滴打車等應用被注入 XcodeGhost 代碼。

以上應用都是有大量用戶日常頻繁使用的，應該受害者極其廣泛，那麼在得知自己隱私被泄露後，我們該做些什麼防止損失？
我在得知此消息的第一時間將自己的apple密碼更改了，還有什麼需要注意的？

提問問題15分鐘後更新：
從烏雲上的這篇分析來看，黑客盜走了一大堆不關乎個人信息安全的信息，可以放心了。
XCode編譯器里有鬼

修改Apple ID密碼，並開啟兩步驗證。
在App突然彈出提示框要求輸入iCloud密碼或其他密碼時，不要輸入。
不要使用這些App，直到他們更新沒有木馬的版本。

根據360網路攻防實驗室的Xcode編輯器被植入後門漏洞報告，已經受感染的應用包括：

微信iOS 6.2.5
12306 2.12
滴滴出行 4.0.0.6
滴滴打車 3.9.7
高德地圖 7.3.8
同花順 9.26.03
中國聯通網上營業廳 3.2
中信銀行動卡空間 3.3.12
簡書 2.9.1
豌豆莢的開眼 1.8.0
窮游 6.4.1
網易雲音樂 2.8.3
網易公開課 4.2.8
下廚房 4.3.2
51卡保險箱 5.0.1
Lifesmart 1.0.44
馬拉馬拉 1.1.0
葯給力 1.12.1
喜馬拉雅 4.3.8
口袋記賬 1.6.0
自由之戰 1.0.9
我叫MT 4.6.2
我叫MT 2 1.8.5
電話歸屬地助手 3.6.3
夫妻床頭話 2.0.1
訊飛輸入法 5.1.1463
憤怒的小鳥2 2.1.1

1.修改Apple ID密碼，非常非常建議開啟2步驗證
2.卸載不卸載已感染應用全看個人喜好，數據早就上傳，目前伺服器已關閉，刪不刪其實暫時沒什麼影響
3.等待更新
-------
題外話：黑蘋果其實是吐槽坊間流傳網易給iOS開發配備的是黑蘋果，但是某些無腦黑真是看人看了受不了，黑蘋果也可以從Applestore更新正式版Xcode，白蘋果也能從百毒網盤下載安裝染毒的Xcode，這件事跟黑蘋果半毛錢關係都沒有。從網盤下載無非是網速原因，或者需要使用特定版本的Xcode。噴開發者不嚴謹的噴得對（然而這件事之前開發者都覺得非官方渠道下的Xcode也一樣使用），噴人家摳、沒錢買白蘋果就有點過分了吧…（當然據說網易真的摳）
------
利益相關：iOS開發新人一枚

作為黑客來說，iOS比安卓難攻擊n倍。iOS有三道防護門，第一道是app store的審核，第二道門是iOS實行沙箱隔離機制，隔離app之間的連接。第三道門是系統許可權，除非越獄，否則app不可能拿到這種許可權。Xcode只是躲過了app審核。雖然理論上黑客可以找到沙箱漏洞（因為蘋果的原因，這種漏洞越來越少），可以實行釣魚攻擊，但實際實行非常困難。因為此時黑客在滿足躲過app審核的同時還要有代碼實行沙箱泄漏。而且只要用戶細心一點，不在不正常的時間彈出窗口輸入密碼，釣魚攻擊就會失效。至於黑客拿到系統許可權，除非用戶是個白痴，否則很難實現。

XcodeGhost只是突破了iOS的第一道門，這不，現在一曝光，這道門立即就關上了。這種情況不能算是病毒，因為它無傳染性，只是有寫惡意軟體躲避app審核的可能。

什麼都不用做

作者已經現身了…感興趣的可以看看
http://m.weibo.cn/u/5704632164

最近累到智商崩盤了……

剛才看到這個消息，糾結半天要不要卸載網易雲音樂和高德地圖……還考慮要不要卸載其它應用……

想了半天，好像哪裡不太對呀，我不是安卓系統么……

暈了……

============

評論區里那兩位，你們是黑習慣了還是怎麼了？沒事得著個機會就得黑兩下，有意思嗎？

我個人用的是CM的ROM，所有Official和Emergency的Patch都打了，而且對每個程序的許可權管理都很嚴格，除了0Day以外沒什麼能威脅到我了吧？

「信息早就被收集了，你不知道而已」

我這個人比較有閑心，基本自己用的軟體都用Semdroid看過了，敢問仁兄哪個軟體有問題啊？信口開河可是不對的哦。

「那麼開放的安卓系統」

「開放」？

不好意思，連對許可權管理最基本的常識都沒有的人，不配和我討論。

「蘋果的xcode還只是因為官方下載速度慢所以開發者選擇去第三方下載從而中招的。安卓的Android SDK在國內直接就無法下，必須使用第三方資源，不知道已經被默默收集了多少信息了。」

哦，所以第三方下載=資源被修改是嗎？

麻煩先搞個第三方下載的Android SDK被篡改的大新聞出來，目前為止我只看到XCode有問題哦，這麼YY真的好嗎？

對於這種有罪推定，簡直微醺。

下面有個人和我扯「倖存者偏差」的，還是那句話，麻煩搞個Android SDK被污染的大新聞再來洗好嗎？

目前沒有類似Android SDK Ghost之類的新聞吧？

我真的是懶得跟你們這種人較勁，本來就是吐自己個槽，被你們一攪合倒像是我跑來吹安卓似的，你們啊，有一點好，跑的比誰都快，圖樣，圖森破！

"Lily Ling:@劉潤澤回復完評論並拉黑而且說「跑得比誰都快」可不是好的行為哦。"

親，連個梗都看不明白，還以為我在說你跑得快吶？

哦，對了，評論區里目前三位都被我拉黑了，這是我的權利，怎麼著吧？

============

Lily Ling:「你眼中的android生態和中國普通android用戶眼中的生態不一樣。不能否認潛在威脅。」

「潛在威脅」，您老是在逗我嗎？按照這個說法，每個人都會得病，這也算「潛在威脅」了吧？乾脆都住到醫院急診室里好了。

說了無數遍了，麻煩先搞個Android SDK被污染的大新聞再來洗好嗎？就算是「潛在威脅」發生了你也得把它翻出來讓媒體圈瞧瞧啊。先證明發生了再來辯好嘛？

============

上面那位 @王世堯同學給我找了個「大新聞」，

【禍不單行】安卓超級病毒「幽靈推」來襲

「病毒自帶Root功能，會首先對手機進行Root操作，以獲取系統最高許可權。」

我是要對你開嘲諷臉了，官方Recovery你給我Root一個看看？默認開發ADB模式是關閉的，好多機型自己手動刷個Recovery都累個半死，這個病毒能耐不小嘛，能繞過ADB關閉的限制和官方Recovery嗎？

恐怕中病毒的都是些自己刷Recovery又對安全一無所知的半吊子吧。隨意中？親，你當真接觸過Root的流程嗎？呵呵。

「安卓病毒的新聞一搜一大堆」

是，我不否認安卓有病毒，但是，第一點，我們現在討論的難道不是開發者工具有沒有問題嗎？轉移話題有意思？第二點，iOS就沒病毒了嗎？iOS病毒的新聞也一搜一大堆，不用越獄也能中病毒哦。

不知道這位仁兄知不知道Masque Attack和Wirelurker，風頭可還沒過去哦，替換Bundle ID就能繞過未越獄系統的限制，哦對了，還有Xagent，這些都影響大部分未升級到最新系統的用戶，按照你自己的說法，我是不是可以說「iOS病毒的新聞一抓一大把」了呢？

最有意思的一點，獵豹到目前為止都沒有解釋每天感染70W手機的數據是怎麼統計來的，而是著重表述了「我們建議用戶從正規渠道下載應用，並且安裝獵豹安全大師，保證應用的合法性，實時維護用戶的手機安全。」截止到目前為止，巨大的感染量並沒有在國內外的社交媒體上表現出來，如果真的如獵豹所說，每天感染70W手機，並且國外泛濫（見獵豹貼圖）的話，XDA等網站早就炸鍋了。獵豹在技術分析文章最後表述了該病毒和「一鍵Root大師」軟體的開發公司有著千絲萬縷的聯繫，引導網友聯想兩者關係，我倒是不憚以最壞的心思揣測國內公司，恐怕這又是一場誇大其詞的「病毒爆發」，獵豹想借XCodeGhost的風頭，排擠競爭對手的同時，又給自家的「獵豹安全大師」做了個廣告。

============

王世堯：「我*，請問你，就算是普通用戶，他在電腦上使用豌豆莢安裝軟體的時候是不是需要打開ADB調試？那麼他知道他打開的這個功能到底是幹什麼用的嗎？我可以很肯定地告訴你，99%的普通用戶不知道！你還敢說安卓很安全？你懂你牛逼，但現實是絕大多數普通用戶不懂，你用你自己的認知來概括全部安卓用戶是不公平的。還有，這個數據赤裸裸的在這擺著，竟被你一句話否定，我覺得你能耐比這個病毒還大。再有，君子自古求同存異，別人和你的觀點不一樣你就把別人拉黑…我*，看來你這人人品真不咋地，你也不用評論我了，我也考慮拉黑你了@劉潤澤」

「請問你，就算是普通用戶，他在電腦上使用豌豆莢安裝軟體的時候是不是需要打開ADB調試？」

不安全第三方下載程序，怪我咯？看我說的iOS病毒了嗎？按照你這個說法，貌似iOS也逃不掉呢。（iOS引以為傲的沙箱哪去了？）

「你還敢說安卓很安全？」

我好像沒這麼說過哦，請問王同學在哪裡看到的啊？立靶子打人可是不對的哦。

「還有，這個數據赤裸裸的在這擺著，竟被你一句話否定，我覺得你能耐比這個病毒還大。」

我否定的不是這個病毒，我否定的是「隨意中病毒」這種言論。

病毒聽著嚇不嚇人？嚇人。

病毒能隨意傳播嗎？按照目前全球感染量和樣本量的分析來看，並不能。

「再有，君子自古求同存異，別人和你的觀點不一樣你就把別人拉黑…我*，看來你這人人品真不咋地」

還是那句話，拉黑你是我的權利，君子求同存異，那是和君子相談的時候，遇到你這種上來抖機靈的，「你放心，那麼開放的安卓系統可能早就被感染了，只是你不知道而已」，我不抄傢伙逐客我還等著你上房揭瓦啊？

我把原文里的髒字改成星號了，我人品咋樣我也不想評論了，倒是您的素質，有待提高啊。

簡單扼要的說：
1.立即修改Apple Id（iCloud）密碼
2.啟用Apple Id兩步驗證
3.關注下被感染的App列表更新，及時的從手機中刪除
4.如果你的Apple Id對應的郵箱支持兩步驗證，最好也啟用一下或修改下郵箱密碼。（主要是防止你用同一個密碼）
5.如果你在被感染的App上有信用卡的交易或信息的輸入等（或者Apple Id綁定了信用卡）最好註銷掉，安全第一
6.注意密碼別和別的站始終用同一個，且定期更換。

應該不能拿到apple id密碼，程序還是跑在沙箱內的。
截獲的最多也只能是app的數據，比如app賬號密碼等。

開發者的鍋，可以索賠

TL;DR
不需要做什麼。

等這些 App 自動更新就好了，下一個版本應該不會使用受感染的 Xcode 編譯了吧。

這件事情其實說明了中國的 Apple 開發者對現有訪問 MAS 速度相當的不滿意，否則一般不會選擇去第三方網站下載 Xcode。

還有可能說明了一個現象——目前的開發者使用非正規來源的軟體的程度超出你的想像。

嚇得我趕緊把我的windows phone 拿出來用了，不知道能不能避過去。。。

　專家建議，廣大用戶可以臨時刪除受影響的APP，並及時修改APP相關帳號密碼、iCloud密碼，以免個人隱私信息泄露。對於開發者來說，要第一時間檢查系統中所有版本的Xcode是否被感染，如果受感染，可以刪除受感染的Xcode後再從官方渠道重新下載；如果發現線上應用是用受感染的Xcode發布過的，建議使用官方Xcode清理和重新編譯應用後再上傳至AppStore，可以盡量向蘋果說明情況，從而走AppStore 的緊急上線流程。

我就問問，有打開過被感染的app，然後期間還使用了支付寶購物，支付寶還安全嗎？

對於用戶來講：

1. 對於目前的情況，不需要採取任何措施。XCodeGhost目前根據作者聲明以及烏雲報告沒有取得任何實名的個人信息。關心這個的可以放心了。

2. 警惕類似的應用。很顯然注入惡意代碼的之後的程序無疑是社工行為的一個好地方。所以，不要太過信任過App Store審核的App。（對於Android用戶也是如此。不過Android平台可能方便點許可權管理，用心的話安全性可以做到比iOS高不少的。｛需要root+很浪費時間｝）

對於開發者而言：

校驗hash還是挺必要的啊…

=======以下可以無視=======

@劉潤澤回復完評論並拉黑而且說「跑得比誰都快」可不是好的行為哦。

原回復：你眼中的android生態和中國普通android用戶眼中的生態不一樣。不能否認潛在威脅。如果這不算倖存者偏差的話，那請指教什麼是倖存者偏差。