更新:如题所言,9月19日一早,一位自称是"XcodeGhost" 作者的人发布了一份关于“所谓‘XcodeGhost’的澄清”,至于真伪,请自辩:
"XcodeGhost" Source 关于所谓“XcodeGhost”的澄清:
首先,我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验,没有任何威胁性行为,详情见源代码:https://github.com/XcodeGhostSource/XcodeGhost
所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现:修改Xcode编译配置文本可以加载指定的代码文件,于是我写下上述附件中的代码去尝试,并上传到自己的网盘中。
在代码中获取的全部数据实际为基本的app信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类型。除此之外,没有获取任何其他数据。需要郑重说明的是:出于私心,我在代码加入了广告功能,希望将来可以推广自己的应用(有心人可以比对附件源代码做校验)。但实际上,从开始到最终关闭服务器,我并未使用过广告功能。而在10天前,我已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。
愿谣言止于真相,所谓的"XcodeGhost",以前是一次错误的实验,以后只是彻底死亡的代码而已。
需要强调的是,XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。
再次真诚的致歉,愿大家周末愉快
———————————————帅气的下划线,以下是此前的报道——————————————
今天早上,微博用户 JoeyBlue_ 发消息称:“一个朋友告诉我他们用了在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入。”下午,乌云网一篇题为“XCode编译器里有鬼 – XCodeGhost样本分析”的文章对整个事件做了简单梳理。
有兴趣研究这个漏洞的读者,可以仔细阅读一下乌云网的技术文章。
值得一提的是,Twitter 上已经有用户进行了实际测验,发现目前受到影响的 App 不仅限于前文所述的两个知名 App,而且包括其他同样使用范围广泛的 App 应用,其中就包括滴滴出行和高德地图。
Twitter 用户 @fannheyward 下午发推,指出“网易云音乐,中信银行动卡空间,12306,滴滴打车”会受到影响 (如图)。
Twitter 用户 @Aveline_Swan 发推文,补充“中国联通客户端”也在受影响的 App 范围之内 (如图)。
Twitter 上有用户提出质疑,认为这个问题和苹果 App Store 的审核有关,但是也有 Twitter 用户反驳 (如图)。
受影响的 App 甚至还有号称在国内占有 80% 市场份额的高德地图 (如图)。
受到影响的包括豌豆荚旗下的 App 应用,该公司的官方 Twitter 帐号已经做出回应,表示工程师正在修复 (如图)。
虽然是一次“泄露事件”,但是有 Twitter 用户表示,“要感谢 XcodeGhost,揭露了行业太多问题。”
[更新 @2015-9-18 / 10:50 PM]
微博认证信息为“西祠胡同创始人”的用户 响马 表示,“微信 6.2.5”也受到了这次泄露事件的影响。
关于“微信中招”的消息,腾讯官方团队晚间在微博发布了官方声明,承认该问题在 6.2.5 的版本中存在,而且仅存在于版本中。微信官方团队同时指出,最新版本微信已经解决此问题,用户可升级微信自行修复,此问题不会给用户造成直接影响。