344款中國App中毒 蘋果「清理門戶」

最大規模惡意程式入侵

〔編譯顧佳欣／綜合報導〕蘋果App Store在20日傳出有史以來最大規模的惡意程式入侵事件，遭竄改的開發工具Xcode在中國網路上流竄，許多開發人員因此不察，使用遭感染的開發工具撰寫應用程式（app）。資安公司「三六○涅槃團隊」指出多達344個app因此受害，如聊天軟體「微信」、叫車服務「滴滴打車」等，影響使用戶估計破億！蘋果忙著將相關app下架，目前並未發現有用戶敏感資料遭竊。

多家資安公司於上週末通報這起漏洞，美國資安公司「帕拉奧圖網絡（Palo Alto Networks）」指出，這是首起以開發工具針對蘋果App Store的攻擊事件。Xcode是蘋果提供的開發工具，但在中國從蘋果官網下載耗時甚久。駭客便看準中國開發人員急切的心態，將植入惡意程式的Xcode放在雲端硬碟「百度雲盤」上傳佈，如此寫出來的app自然中招，更騙過了蘋果一向嚴密的app審核程序，阿里巴巴移動安全公司則將此惡意軟體稱為「XcodeGhost」。

請繼續往下閱讀...

估中國數億用戶受影響

帕拉奧圖網絡在官網公佈約有200個app受感染，但三六○涅槃團隊表示，在掃描14.5萬個app後，發現有344款遭到感染。受害的包括在全球有5億活躍用戶的微信，蘋果在中國智慧型手機市場市佔率則達15％；另外還有中國鐵路總公司官方訂位app「12306」，以及網易的音樂應用app、電信商中國聯通客戶服務app等。

傳假警報 竊iCloud密碼

中招的app會上傳用戶裝置訊息，並製造假警報，進而竊取iCloud密碼，或存取用戶的剪貼簿內的訊息。蘋果指出該款開發工具來自「不可靠的來源」，20日稍晚也發表聲明表示，為保護使用者，已將使用該款開發程式的app下架，並與開發商合作中，確保其使用的是適當的Xcode。

微信開發商「騰訊」則表示，沒有發現任何資料遺失或金錢損失，將持續監督，新版微信已重新上架。至於此次事件幕後黑手為何人，是否可能是中國政府所為？帕拉奧圖網絡表示，目前未有足夠證據證明始作俑者。

市調公司歐睿國際（Euromonitor International）消費電子主管羅偉泰則認為，這不會對未來蘋果產品的銷售有重大影響，因為惡意軟件從個人電腦時代早就存在，但消費者對行動裝置的安全意識較弱，在中國或越南等新興市場，行動裝置消費者的隱私與安全保護也較為不足。