76款热门iOS应用被植入XCodeGhost代码 教你一秒分辨你的手机遭殃了吗

　　一向号称系统安全程度最高的苹果这次也未能幸免，多款iOS应用因被植入XCodeGhost代码而有信息泄露风险。万幸的是，尚未出现隐私信息泄露。

　　每经记者 赵娜

　　一向号称系统安全程度最高的苹果这次也未能幸免，多款iOS应用因被植入这个代码而有信息泄露风险。万幸的是，尚未出现隐私信息泄露。

　　消息一出，果粉们都不淡定了，自己的手机到底有没有被代码“”？又该如何自测？《每日经济新闻》记者也特此做了以下的梳理，希望能对大家有所帮助。

　　猎豹移动安全专家李铁军接受《每日经济新闻》记者采访时表示，此事件的解决需要等待相应的开发商更新应用。用户如觉得不保险，可以把相关应用暂时卸载掉。对iCloud帐号的潜在风险，可修改密码或是iCloud双重验证。

　　想自测手中苹果设备的应用是否“中招”？日常使用有哪些安全注意事项？Android用户不能从Google Play渠道下载应用，又该注意什么？“扫盲”开始！

　　作为iOS用户，你需要知道：

　　1.装了有XCodeGhost代码的应用，有啥影响？

　　根据漏洞报告平台（以下简称）对病毒样本的分析，这些泄露信息其实并不涉及太多的隐私问题。但是，病毒拥有更多的权限，它们在iPhone/iPad上弹出钓鱼网站页面，可能骗取iCloud帐号密码，或者其他关键信息。

　　李铁军告诉记者，大家分析的结果是认为代码存在潜在风险，但包括iCloud帐号信息在内，只是根据原理推测黑客能获取，目前并没有充分的表明隐私信息被获取。

　　2.怎么自测手中苹果设备的应用是否“中招”？ 需要卸载or更新？

　　App Store上的TOP5000应用中，有76款被植入XCodeGhost代码。

　　微信、地图、滴滴出行、网易云音乐等用户量较大的知名APP，以及12306、中信银行动卡空间、南方航空等涉及民生的APP，均未幸免。

　　目前受影响的主流APP及其对应版本如图：（来自腾讯雷霆行动公号）

　　看到这儿别着急，《每日经济新闻》记者梳理发现，包括豌豆荚旗下开眼、网易云音乐、滴滴出行、微信、南方航空等多款APP，已通过关闭感染源服务器，或向苹果App Store提交新版APP等方式做出修复，并利用微博等渠道通告用户及时更新。

　　但要注意，已作出处理的相关APP厂商里，只有部分在App Store的版本更新介绍中直接标明了已修复XCodeGhost代码问题等字样。一句话，看到“中招”的APP名，先留意对应的版本号，厂商已修复的及时更新应用就好。对待厂商反应迟钝的，可以暂时卸载应用一段时间。

　　苹果App Store已经采取行动，做法是把被感染XcodeGhost的应用下架，要求开发者提交重新编译的应用才能上架。

　　要还不放心，以“越狱”闻名的盘古团队开发了一款XcodeGhost检测工具，有需要的同学请微博搜索@PanguTeam，自行获取检测工具。

　　汇总下，对此事件及日常使用，iOS用户如何“自保”？

　　今天（9月21日），腾讯雷霆行户：

　　1、基于安全的考虑，最好对涉及到的密码、支付方式等进行修改；

　　2、不要越狱，只从市场下载软件，当有人试图套取你的iCloud帐户密码或者其他重要帐户密码、手机验证码时，必须谨慎对待；

　　3、对于“中招”软件，稳妥起见暂时不要打开，静待更新。目前微信等已经进行了修复并将版本修复，用户升级到新版即可；

　　4、为确保安全，用户也可以选择暂时卸载那些受影响软件。保险起见，修改Apple ID密码，iCloud帐户密码。

　　作为有着强大好奇心和求知欲的iOS用户，你或许要问：恶意代码为何能被大批量植入进APP？

　　猎豹移动安全实验室指出，程序员使用Xcode非版本，可能有两个原因：渠道下载缓慢，或者开发者使用了黑苹果（盗版苹果系统）开发。

　　9月19日早间，自称写入XcodeGhost代码的作者以 @XcodeGhost-Author（新注册帐号）的身份，在微博发表致歉声明并公开源码，称这只是一个实验性项目，没有任何包含性的行为。

　　腾讯科技援引业内人士说法称，作者并不希望被知道其身份。这份声明的真实性引发业界热议，但也获得多个安全领域专家转发。

　　另有观点称，这背后或存在着黑色产业链（以下简称黑产）团队，涉及多个平台。

　　XCodeGhost事件的是，辛苦的程序猿们图了一时方便。但你要知道，程序猿们也是出于被GFW（“防火长城”）阻隔的影响。苹果开发软件官网下载速度慢，而Android开发包不“翻墙”就无法从官网下载。这次之后，广大程序猿估计会多加注意了。

　　如果有看到此处的Android用户，你们没有被遗忘！

　　“彩蛋（简易）”安全指南在此：

　　对性更强的Android系统，受众所周知的原因影响，从商店Google Play下载应用的国内用户是小众的，主流用户多从第三方渠道获取应用。

　　如此，请从腾讯应用宝、百度手机助手、豌豆荚等正规Android市场下载APP，抛弃来不明的安装源。然后，下载应用前请别忽视软件描述和权限，多看下是否有诸如版、安全、无广告等字样。对于认为申请可疑权限过多的APP，是不是考虑不装或寻找同类替代品？

　　好消息是，Android M（6.0）系统将增加新的管理权限控制，新系统将实现直接让用户只同意勾选应用的部分权限，并在之后随时做出更改。此外，管理应用权限和结束进程这些功能，现在通过第三方APP也能实现。

　　如需转载请与《每日经济新闻》联系。

　　未经《每日经济新闻》授权，严禁转载或镜像，违者必究。

　　版权合作及网站合作电话：转688读者热线：4008890008

　　每经订报电话:

　　：上海：深圳：

　　成都： 或 广州：

　　特别提醒：如果我们使用了您的图片，请作者与本站联系稿酬。如您不希望作品出现在本站，可联系我们要求撤下您的作品。

推荐：