@图拉鼎：尽管恶意服务器已停止收集，但仍有风险！,今天中午开始，他

@图拉鼎：尽管恶意服务器已停止收集，但仍有风险！,今天中午开始，他

开发者 @图拉鼎 开发了第三方iOS微博客户端“奇点”，以及Mac上的快速启动工具Manico。今天中午开始，他通过自己的试验，发现大量用户众多的国内iOS应用成为昨日曝光的Xcode漏洞受害者。他也给出了这个漏洞可能的危害程度，以及目前状况下的防御措施。我们一起来看看他的微博：

12:16

珍惜生命，坚决从 AppStore 下载 Xcode。干嘛从迅雷/百度下呢？如果一家公司的网络连从官网下载 Xcode 都无法快速达成，那如何好好工作

14:14

经过我亲自测试，得出以下结果：网易云音乐确实中招了，见图1。其他还有，滴滴出行，图2。12306，图3。这些用的如此广泛的国内 App都中招了，可见影响范围有多广！其他国内的 App 我就不多试了，仅举上述三例。虽然现在已经不构成实质上的信息泄露，因为恶意网站已主动关闭，怎么做大家自己看着办。

14:39

大家等着…我至少还有三个名单要补充，都是我自己手机上的 App。

14:51

新一轮测试完毕，在我手机上的100 多个 App 中继续发现以下 App 中招了，分别是：1、中国联通的手机营业厅；2、高德地图；3、简书；4、豌豆荚的开眼；5、网易公开课。每个 App 我都打开关闭两次才确认的，应该不会弄错。大家如有补充可以评论告诉我。如果这些厂的程序猿还不知道的话，麻烦告诉他们。

15:16

第三轮测试结果如下：6、下厨房；7、51卡保险箱；8、同花顺；9、中信银行动卡空间…后面三个都是和金融有关的，真是可怕。所幸的是，当前恶意代码没有做更多收集用户信息的动作，目前收集的只是 App 信息和开关等使用记录，但是如果这个今天没发现，再过段时间针对具体 App 做具体的事情就太迟了。

15:33

请注意！！！我要收回我前面说的暂时没有更大危害的话！根据乌云网上一个评论指出，该恶意代码除了会收集 App 使用信息外还可能会在 App 里以弹窗的形式骗取用户的 iCloud 或其他密码。我还没有分析和遇到这种弹窗，但是大家尽量小心！对策是，App 里突然出现标准弹窗时，选不！

15:56

正在写一个 demo，来测试通过 Objective-C 的 category 覆盖的方式能拿到多少信息…

16:47

如 @Saic 微博所说，情况就是这样：当你在中招的 App 里完成了一次 IAP 内购，比如云音乐的付费音乐包，无论是输入密码还是 Touch ID，那么一段加密的数据即发往了目标服务器。目前尚不知加密的内容是什么。

17:44

大家问我这次 iOS App 被恶意代码植入后的相关建议，我简单总结。尽管恶意服务器已停止收集，但仍有风险！中招 App 实在太多，名单还在不断增加，所以可以先做以下防护措施：1、更改会通过 App 支付的帐户密码（如 iCloud），开启两步验证；2、暂停使用中招的 App，无法停止的至少不要进行内购等操作。

17:47

对于 iOS 开发者的建议，立即删除从不明来源下载的 Xcode，即使你是用官方地址然后在迅雷上下载的，最后从 App Store 安装新版本的 Xcode。有条件的公司应该在今天开始专门设置一台有专人管理的 Build Server，所有发布至 App Store 的 App 只能从该台电脑 Build 并发布，以防止未来此类事件的再现。