從蘋果社區(qū)論壇下載了個Xcode編譯工具，卻不小心讓自己辛辛苦苦編寫的App中了毒?最近幾天，這個消息已經(jīng)在朋友圈、新浪微博和各個新聞媒體刷屏了好幾輪。

這也許是迄今為止，所有蘋果應用開發(fā)者共同抵御黑客攻擊的一次最大規(guī)模戰(zhàn)役。在中標的名單中，更多的應用以天，甚至以小時的速度在不斷被刷新。

[[149849]]

而很多云端存儲工具、下載工具“躺槍”，被用來傳播Xcode-Ghost的工具。

百度云的應急響應

9月18日，來自Palo Alto Networks和Apple Security Team的關于XcodeGhost的信息，立刻引起了百度的重視，信息提及黑客利用網(wǎng)盤存儲惡意工具，在很多非官方蘋果社區(qū)論壇傳播。

接到信息后，百度立即啟動了最高安全緊急響應流程，清查并關閉云盤上所有感染文件共享，并與友商密切合作，交換威脅情報，追溯傳染源。據(jù)了解，現(xiàn)在網(wǎng)盤的受感染文件都已經(jīng)被清理。

下載工具也是傳播途徑

幾天前，有網(wǎng)友吐槽用官方URL下載到了含惡意代碼的Xcode。可能大多數(shù)人并沒有注意到這條消息， 百度安全實驗室X-TEAM負責人王宇十分敏感，第一反應是下載工具的離線資源可能被污染了，并且很快就驗證的確存在這種可能性。通過排查，國內(nèi)的多個知名下載工具都“躺槍”了。

“現(xiàn)在可以判斷，污染下載渠道這種攻擊方式的強大和影響程度，要遠遠超過Xcode被替換事件本身。因為到底有多少官方下載鏈接資源被污染?外界很難統(tǒng)計清楚。現(xiàn)在我們掌握的情況，只是冰山一角。”王宇得出這個細思恐極的結(jié)論。

0day防護計劃幫應用“滅火”

在百度安全實驗室通報了這一發(fā)現(xiàn)之后，百度云安全立即啟動了0day防護計劃，與迅雷等受影響的應用取得聯(lián)系，向?qū)Ψ教峁┫嚓P漏洞信息。百度云安全方面表示，相關的漏洞細節(jié)需要等迅雷等廠商修復之后才會公布。

據(jù)了解，由于此次黑客攻擊的是用戶的客戶端App ，百度云安全通過0day防護計劃，以最快的速度了解了事件的來龍去脈，以及受影響的用戶范圍，已經(jīng)跟多家廠商取得聯(lián)系，以期盡快解除用戶的安全威脅。

百度云安全總經(jīng)理馬杰表示，百度云加速3.0、百度安全寶的用戶已經(jīng)自動被納入到0day防護計劃的保護中。“我們也非常歡迎更多合作伙伴、企業(yè)加入這個計劃中，與我們一起共同應對未知威脅，保護用戶的安全。”

工具警惕被人“當槍使”

百度安全提示，關于此次事件的嚴重性，我們不應該僅僅是關注事件本身，更應該深層次思考事件背后透露的信息：

首先，網(wǎng)盤、迅雷等都是深受用戶喜愛的網(wǎng)絡工具，擁有億級以上的用戶。而同類型的產(chǎn)品在網(wǎng)上還有很多。此次事件非常典型，說明對于上傳文件和下載內(nèi)容，服務提供商應該在尊重用戶隱私的基礎上， 提高安全檢測的門檻，防止被黑客“當槍使”。

其次，種種跡象表明，這次事件顯然是經(jīng)過了詳細周密的策劃，并非黑客在澄清微博中說的“僅為測試”：第一，黑客注冊了沒有泄漏任何關鍵信息的域名;第二，據(jù)悉，此團隊在Amazon上租用了AWS云主機，每月花費高昂的費用(有逃避國內(nèi)追查的嫌疑);第三，黑客在澄清微博中刻意隱瞞了三個重要信息，包括用釣魚提示框騙取用戶輸入用戶名和密碼，劫持官方URL并且在代碼中植入廣告后門，以及記錄用戶在剪切板上的用戶名和密碼等關鍵信息。

第三，我們更應該關注，污染包括下載工具、運營商下載通道等在內(nèi)的下載途徑，已經(jīng)成為地下黑色產(chǎn)業(yè)鏈牟利的重要方法，這可以大大增加惡意軟件的影響范圍。在普通用戶吐槽網(wǎng)盤、迅雷的時候， 可能并不明白其實他們也是這次事件的受害者。因此，相關企業(yè)應該徹查安全隱患，排除脆弱點，對自身的安全體系和安全管理進行完善。