據(jù)烏云漏洞平臺(tái)報(bào)道，國(guó)內(nèi)多個(gè)廠(chǎng)商的App開(kāi)發(fā)者使用了第三方途徑下載的Xcode開(kāi)發(fā)環(huán)境（非Apple正規(guī)途徑），下載了被植入了惡意代碼的iOS應(yīng)用開(kāi)發(fā)工具Xcode，導(dǎo)致其編譯后應(yīng)用感染上了一種名叫XcodeGhost的病毒，會(huì)自動(dòng)發(fā)送信息至第三方遠(yuǎn)端服務(wù)器，這種病毒不僅會(huì)在應(yīng)用運(yùn)行時(shí)竊取用戶(hù)信息，并有可能竊取用戶(hù)的iTunes密碼。

“XcodeGhost病毒事件”最近鬧的人心惶惶，iOS用戶(hù)個(gè)個(gè)自危，不僅蘋(píng)果官方出面回應(yīng)，連央視也特別報(bào)道了此事。究其根源，就是開(kāi)發(fā)者下載了被被植入病毒代碼的Xcode開(kāi)發(fā)工具，導(dǎo)入所開(kāi)發(fā)的APP被感染。而這些被植入植入病毒的Xcode開(kāi)發(fā)工具并非來(lái)自蘋(píng)果官方，而是來(lái)自第三方下載渠道，自然而然，網(wǎng)盤(pán)、迅雷等成了被質(zhì)疑的對(duì)象。不少網(wǎng)友指出，正是通過(guò)這些下載渠道才中招。

對(duì)此，剛剛迅雷官方發(fā)布聲明，對(duì)網(wǎng)絡(luò)上出現(xiàn)質(zhì)疑說(shuō)法一一進(jìn)行澄清，同時(shí)公布了XcodeGhost病毒污染源下載鏈接列表，并將染毒的XCode文件屏蔽下載。迅雷表示，染毒的XCode泛濫并非由迅雷導(dǎo)致，某網(wǎng)盤(pán)是染毒XCode的主要下載源。

以下為迅雷聲明全文：

最近這幾天“XCodeGhost”事件鬧得人心惶惶，如果你對(duì)“XCodeGhost”事件本身的來(lái)龍去脈不夠了解，推薦閱讀騰訊安全應(yīng)急響應(yīng)中心的文章《你以為這就是全部了？我們來(lái)告訴你完整的XCodeGhost事件》

而本文的重點(diǎn)是想澄清在“XCodeGhost”事件中，有關(guān)迅雷的種種“說(shuō)法”。

說(shuō)法1：“還是不能相信迅雷，我是把官網(wǎng)上的下載URL復(fù)制到迅雷里下載的，還是中招了”

這句話(huà)是烏云網(wǎng)原文《XCode編譯器里有鬼–XCodeGhost樣本分析》當(dāng)中，文章作者引用微博中“誰(shuí)敢亂說(shuō)話(huà)”的留言。這是整個(gè)事件中唯一聲稱(chēng)“使用迅雷下載官網(wǎng)鏈接也會(huì)中招”的反饋。

我們?cè)诳吹竭@條反饋時(shí)，第一時(shí)間安排迅雷安全中心工程師對(duì)XCode6.4的官方鏈接進(jìn)行下載測(cè)試，并對(duì)迅雷索引服務(wù)器上的記錄進(jìn)行了交叉檢查。發(fā)現(xiàn)迅雷從未將官方鏈接的XCode6.4下錯(cuò)為染毒的版本。而且染毒的XCode6.4文件比官方版本大了6.97MB，因此文件特征值不存在重復(fù)的可能。

在迅雷安全中心工程師完成測(cè)試及檢查后，我們看到“誰(shuí)敢亂說(shuō)話(huà)”博主已經(jīng)主動(dòng)發(fā)布澄清《我澄清一下，復(fù)制官方的URL到迅雷里下載沒(méi)有問(wèn)題，我記錯(cuò)了》。雖然他先前的留言造成對(duì)迅雷的誤解，但是我們依然感謝他能主動(dòng)澄清這件事。

說(shuō)法2：“成功感染了迅雷的離線(xiàn)服務(wù)器，也就是說(shuō)，你常用下載軟件是迅雷的話(huà)，輸入官網(wǎng)的地址下載下來(lái)的dmg仍然有可能是被修改過(guò)的。”

這個(gè)說(shuō)法是在“說(shuō)法1”的基礎(chǔ)上，經(jīng)過(guò)轉(zhuǎn)載及揣測(cè)被加工成了“迅雷離線(xiàn)服務(wù)器被感染”，但現(xiàn)在“說(shuō)法1”已經(jīng)被澄清，而且迅雷早在“XCodeGhost”事件被曝光時(shí)，立即全面檢查了離線(xiàn)服務(wù)器中所有蘋(píng)果官方鏈接的Xcode文件，SHA1值均與蘋(píng)果官方版本保持一致。因此迅雷離線(xiàn)服務(wù)器沒(méi)有被感染。

說(shuō)法3：這次XcodeGhost木馬病毒的泛濫有可能和迅雷有關(guān)，迅雷最初下載的Xcode就是被修改的程序，因此iOS開(kāi)發(fā)者即使用官方地址然后在迅雷上下載，也會(huì)下載到帶有木馬病毒的Xcode。

該說(shuō)法同樣為“說(shuō)法1”的變種。根據(jù)我們查詢(xún)離線(xiàn)下載的任務(wù)記錄，染毒的XCode6.4版本（SHA1：a836d8fa0fce198e061b7b38b826178b44c053a8）。最早被迅雷會(huì)員用戶(hù)添加到離線(xiàn)下載中時(shí)，并非來(lái)自蘋(píng)果官方，而是來(lái)自某網(wǎng)盤(pán)的URL。

同時(shí)我們列出了染毒的XCode6.4版本的所有下載來(lái)源，共有52條記錄，無(wú)一來(lái)自蘋(píng)果官方網(wǎng)站。也就是說(shuō)，染毒的XCode泛濫并非由迅雷導(dǎo)致，某網(wǎng)盤(pán)是染毒XCode的主要下載源。

與此同時(shí)迅雷已將染毒的XCode文件屏蔽下載。

說(shuō)法4：迅雷下載難道只判斷文件名，不會(huì)檢測(cè)哈希值之類(lèi)的嗎？

迅雷并不通過(guò)文件名或文件大小來(lái)判斷文件是否一致。迅雷下載會(huì)在下載開(kāi)始時(shí)檢測(cè)文件的哈希值（特征值），下載過(guò)程中會(huì)與原始地址及鏡像進(jìn)行實(shí)時(shí)比對(duì)校驗(yàn)，發(fā)現(xiàn)錯(cuò)誤數(shù)據(jù)就會(huì)在下載過(guò)程中立即糾錯(cuò)，所以才會(huì)出現(xiàn)所謂的“下載進(jìn)度倒退”現(xiàn)象。文件下載完成后會(huì)再次進(jìn)行完整的文件校驗(yàn)。

說(shuō)法5：我遇到過(guò)某軟件官網(wǎng)鏈接用迅雷下載到了這軟件的上一個(gè)版本

這種情況確實(shí)在部分用戶(hù)的環(huán)境中發(fā)生過(guò)，經(jīng)過(guò)我們聯(lián)系用戶(hù)進(jìn)行調(diào)查，結(jié)果發(fā)現(xiàn)是用戶(hù)使用的網(wǎng)絡(luò)運(yùn)營(yíng)商為了降低自身網(wǎng)絡(luò)出口的流量成本。會(huì)自己架設(shè)CDN服務(wù)器來(lái)緩存比較熱門(mén)的文件。當(dāng)某軟件發(fā)布新版本更新了安裝文件，而下載地址未變時(shí)，該運(yùn)營(yíng)商的CDN服務(wù)器沒(méi)有及時(shí)的更新文件。仍將用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求指向了緩存的老文件，此時(shí)用戶(hù)使用迅雷進(jìn)行下載，就會(huì)下載到上一個(gè)版本。這種情況并不常見(jiàn)，而且迅雷已經(jīng)進(jìn)行了優(yōu)化。

說(shuō)法6：如果我把染毒的文件放在自己架的一個(gè)服務(wù)器上，并修改本機(jī)DNS將官方下載鏈接的下載請(qǐng)求指向我自己架的服務(wù)器，再用迅雷下載這個(gè)帶毒的文件，迅雷就會(huì)把這個(gè)染毒的文件分享給別人了。

這種假設(shè)是行不通的，雖然這么做能讓迅雷把染毒的文件下載到你本機(jī)。但是我們前面介紹過(guò)，迅雷在下載完成后會(huì)進(jìn)行完整的文件校驗(yàn)，如果你下載的文件是染毒的，文件校驗(yàn)得出的特征值就會(huì)截然不同。因此迅雷的索引服務(wù)器就不會(huì)將染毒的文件跟正常的文件關(guān)聯(lián)在一起。自然別的迅雷用戶(hù)就不會(huì)從你本機(jī)獲取這個(gè)染毒的文件。

最新評(píng)論