據(jù)烏云漏洞平臺報道，國內(nèi)多個廠商的App開發(fā)者使用了第三方途徑下載的Xcode開發(fā)環(huán)境（非Apple正規(guī)途徑），下載了被植入了惡意代碼的iOS應用開發(fā)工具Xcode，導致其編譯后應用感染上了一種名叫XcodeGhost的病毒，會自動發(fā)送信息至第三方遠端服務器，這種病毒不僅會在應用運行時竊取用戶信息，并有可能竊取用戶的iTunes密碼。

“XcodeGhost病毒事件”最近鬧的人心惶惶，iOS用戶個個自危，不僅蘋果官方出面回應，連央視也特別報道了此事。究其根源，就是開發(fā)者下載了被被植入病毒代碼的Xcode開發(fā)工具，導入所開發(fā)的APP被感染。而這些被植入植入病毒的Xcode開發(fā)工具并非來自蘋果官方，而是來自第三方下載渠道，自然而然，網(wǎng)盤、迅雷等成了被質(zhì)疑的對象。不少網(wǎng)友指出，正是通過這些下載渠道才中招。

對此，剛剛迅雷官方發(fā)布聲明，對網(wǎng)絡上出現(xiàn)質(zhì)疑說法一一進行澄清，同時公布了XcodeGhost病毒污染源下載鏈接列表，并將染毒的XCode文件屏蔽下載。迅雷表示，染毒的XCode泛濫并非由迅雷導致，某網(wǎng)盤是染毒XCode的主要下載源。

以下為迅雷聲明全文：

最近這幾天“XCodeGhost”事件鬧得人心惶惶，如果你對“XCodeGhost”事件本身的來龍去脈不夠了解，推薦閱讀騰訊安全應急響應中心的文章《你以為這就是全部了？我們來告訴你完整的XCodeGhost事件》

而本文的重點是想澄清在“XCodeGhost”事件中，有關迅雷的種種“說法”。

說法1：“還是不能相信迅雷，我是把官網(wǎng)上的下載URL復制到迅雷里下載的，還是中招了”

這句話是烏云網(wǎng)原文《XCode編譯器里有鬼–XCodeGhost樣本分析》當中，文章作者引用微博中“誰敢亂說話”的留言。這是整個事件中唯一聲稱“使用迅雷下載官網(wǎng)鏈接也會中招”的反饋。

我們在看到這條反饋時，第一時間安排迅雷安全中心工程師對XCode6.4的官方鏈接進行下載測試，并對迅雷索引服務器上的記錄進行了交叉檢查。發(fā)現(xiàn)迅雷從未將官方鏈接的XCode6.4下錯為染毒的版本。而且染毒的XCode6.4文件比官方版本大了6.97MB，因此文件特征值不存在重復的可能。

在迅雷安全中心工程師完成測試及檢查后，我們看到“誰敢亂說話”博主已經(jīng)主動發(fā)布澄清《我澄清一下，復制官方的URL到迅雷里下載沒有問題，我記錯了》。雖然他先前的留言造成對迅雷的誤解，但是我們依然感謝他能主動澄清這件事。

說法2：“成功感染了迅雷的離線服務器，也就是說，你常用下載軟件是迅雷的話，輸入官網(wǎng)的地址下載下來的dmg仍然有可能是被修改過的。”

這個說法是在“說法1”的基礎上，經(jīng)過轉(zhuǎn)載及揣測被加工成了“迅雷離線服務器被感染”，但現(xiàn)在“說法1”已經(jīng)被澄清，而且迅雷早在“XCodeGhost”事件被曝光時，立即全面檢查了離線服務器中所有蘋果官方鏈接的Xcode文件，SHA1值均與蘋果官方版本保持一致。因此迅雷離線服務器沒有被感染。

說法3：這次XcodeGhost木馬病毒的泛濫有可能和迅雷有關，迅雷最初下載的Xcode就是被修改的程序，因此iOS開發(fā)者即使用官方地址然后在迅雷上下載，也會下載到帶有木馬病毒的Xcode。

該說法同樣為“說法1”的變種。根據(jù)我們查詢離線下載的任務記錄，染毒的XCode6.4版本（SHA1：a836d8fa0fce198e061b7b38b826178b44c053a8）。最早被迅雷會員用戶添加到離線下載中時，并非來自蘋果官方，而是來自某網(wǎng)盤的URL。

同時我們列出了染毒的XCode6.4版本的所有下載來源，共有52條記錄，無一來自蘋果官方網(wǎng)站。也就是說，染毒的XCode泛濫并非由迅雷導致，某網(wǎng)盤是染毒XCode的主要下載源。

與此同時迅雷已將染毒的XCode文件屏蔽下載。

說法4：迅雷下載難道只判斷文件名，不會檢測哈希值之類的嗎？

迅雷并不通過文件名或文件大小來判斷文件是否一致。迅雷下載會在下載開始時檢測文件的哈希值（特征值），下載過程中會與原始地址及鏡像進行實時比對校驗，發(fā)現(xiàn)錯誤數(shù)據(jù)就會在下載過程中立即糾錯，所以才會出現(xiàn)所謂的“下載進度倒退”現(xiàn)象。文件下載完成后會再次進行完整的文件校驗。

說法5：我遇到過某軟件官網(wǎng)鏈接用迅雷下載到了這軟件的上一個版本

這種情況確實在部分用戶的環(huán)境中發(fā)生過，經(jīng)過我們聯(lián)系用戶進行調(diào)查，結(jié)果發(fā)現(xiàn)是用戶使用的網(wǎng)絡運營商為了降低自身網(wǎng)絡出口的流量成本。會自己架設CDN服務器來緩存比較熱門的文件。當某軟件發(fā)布新版本更新了安裝文件，而下載地址未變時，該運營商的CDN服務器沒有及時的更新文件。仍將用戶的訪問請求指向了緩存的老文件，此時用戶使用迅雷進行下載，就會下載到上一個版本。這種情況并不常見，而且迅雷已經(jīng)進行了優(yōu)化。

說法6：如果我把染毒的文件放在自己架的一個服務器上，并修改本機DNS將官方下載鏈接的下載請求指向我自己架的服務器，再用迅雷下載這個帶毒的文件，迅雷就會把這個染毒的文件分享給別人了。

這種假設是行不通的，雖然這么做能讓迅雷把染毒的文件下載到你本機。但是我們前面介紹過，迅雷在下載完成后會進行完整的文件校驗，如果你下載的文件是染毒的，文件校驗得出的特征值就會截然不同。因此迅雷的索引服務器就不會將染毒的文件跟正常的文件關聯(lián)在一起。自然別的迅雷用戶就不會從你本機獲取這個染毒的文件。

最新評論