中國的蘋果用戶遇上大事了。

　　之所以要強(qiáng)調(diào)中國，是因?yàn)檫@次大規(guī)模爆發(fā)的蘋果病毒（嚴(yán)格來說是一種后門漏洞）XcodeGhost，主要影響中國大陸人。

　　先說你們最關(guān)心的后門癥狀（其實(shí)這個(gè)描述了也沒卵用，后面你就知道為啥沒用了）。根據(jù)烏云知識(shí)庫里用戶@蒸米 的描述，所有中招的蘋果App，會(huì)收集一些iPhone和app的基本信息，包括：時(shí)間，bundle id(包名)，應(yīng)用名稱，系統(tǒng)版本，語言，國家，然后發(fā)送到一個(gè)仿冒蘋果的網(wǎng)站（http://init.icloud-analysis.com）上。這些收集和發(fā)送動(dòng)作都是后臺(tái)進(jìn)行的，所以其實(shí)你們不會(huì)覺察到任何異常。

　　目前看來這些信息還不算太敏感。但有技術(shù)人員透露，這個(gè)后門也可能有一些代碼（未確認(rèn)�。�，用來向用戶彈出要求登錄蘋果ID的請(qǐng)求框。而這一段代碼并不是每次都出現(xiàn)的，也就是說，現(xiàn)在可能還沒被監(jiān)測(cè)到。蘋果ID泄露了會(huì)怎么樣，請(qǐng)大家自行Google“好萊塢艷照”。

　　有哪些App中招了呢？很不幸，微信iPhone版，6.2.5，已經(jīng)確認(rèn)。微信團(tuán)隊(duì)昨晚（9月18日）21:43分通過官方微博承認(rèn)了這一點(diǎn)：“網(wǎng)上傳播微信6.2.5版本存在嚴(yán)重漏洞的說法，微信團(tuán)隊(duì)說明如下圖:1.該問題僅存在iOS 6.2.5版本中，最新版本微信已經(jīng)解決此問題……”

　　這就是淼叔說的“即使描述了中招癥狀也沒卵用”的原因。微信是國民App，在相對(duì)高端的蘋果用戶群體里應(yīng)該更是必備應(yīng)用。它都中招了，你還不得改Apple ID密碼，沒商量么。這也是我一開始說的“主要影響中國大陸用戶”的第一個(gè)原因。第二個(gè)原因是什么？往下看。

　　這個(gè)后門是怎么產(chǎn)生的呢？大家知道，開發(fā)蘋果iPhone上的App，有一款工具必不可少，就是蘋果自家出的Xcode。它要負(fù)責(zé)把源代碼編譯為可執(zhí)行的App，開發(fā)者才能把App上傳到蘋果應(yīng)用商店后臺(tái)，經(jīng)過蘋果官方審核后，App在應(yīng)用商店App Store上架，正式開放下載。

　　這次的問題就出現(xiàn)在Xcode上。后門制作者制造了一個(gè)“加料版”Xcode。凡是用這個(gè)Xcode編譯的App，里面就都會(huì)帶有本文一開始介紹的那個(gè)功能，自動(dòng)發(fā)送用戶信息到一個(gè)仿冒服務(wù)器上。

　　這是相當(dāng)高明的一個(gè)做法。普通病毒靠用戶和用戶之間傳播，速度再快，也受社交網(wǎng)絡(luò)關(guān)系的限制，也可能被第三方廠商查殺（因?yàn)檫@些廠商可以比對(duì)中毒文件與官方文件的差別）。但把病毒或者說后門植入到Xcode這個(gè)必備工具里，就從源頭污染了所有官方的App，比用戶之間傳播效率高多了。這些App有再不正常的舉動(dòng)，也只能讓用戶和安全廠商以為這是官方設(shè)定，而不是病毒所致。

　　有人要問，那直接從蘋果官方下載Xcode不就行了嗎，明明該工具是免費(fèi)的，用盜版也沒動(dòng)力呀。其實(shí)吧，還真有動(dòng)力。因?yàn)榘蛇@個(gè)工具的體積不小，有2G多。而在中國大陸連接蘋果服務(wù)器下載這個(gè)軟件呢，據(jù)一些碼農(nóng)朋友哭訴，幾分鐘十幾分鐘就會(huì)斷線一次，還有下了通宵然后最后斷掉的。所以不得已就只能去一些軟件下載站尋找替代辦法。根據(jù)上述烏云帖子的分析，制毒者一開始也正是通過百度網(wǎng)盤散發(fā)帶毒Xcode的鏈接，從而引發(fā)擴(kuò)散的。

　　至于為啥下載Xcode會(huì)這么慢呢？淼叔不敢明說，只知道其他國家好像很少人抱怨這個(gè)問題，似乎又是一個(gè)“中國國情”。具體原因，您可以自行Google“SICK四國”。

　　所有中招的用戶能做什么呢？

　　首先就是更改蘋果的Apple ID密碼，就是你在App Store里購買APP時(shí)要輸入的那個(gè)密碼，也是你登錄iCloud時(shí)輸入的密碼。其次，根據(jù)西祠胡同和孢子社區(qū)創(chuàng)始人@響馬 的建議，如果你在中招APP中輸入過信用卡帳號(hào)，進(jìn)行過購買或者說內(nèi)購行為，那就換信用卡吧。淼叔仔細(xì)回想了下，我應(yīng)該是沒在這類App里輸入過信用卡，因?yàn)槲乙话阒苯釉谔O果官方商店里充值……

　　最后，來看看還有哪些App中招了吧。你會(huì)發(fā)現(xiàn)不少熟悉的面孔呢。知乎用戶李浩宇建立了一個(gè)Google在線文檔列表，隨時(shí)更新這些中招App的名字和驗(yàn)證方式。例如，網(wǎng)易云音樂和豌豆莢開眼已經(jīng)官方確認(rèn)了中招，但更多的App還是靠網(wǎng)友自己抓包分析出來的（詳情點(diǎn)擊：文檔地址超鏈接）當(dāng)然，根據(jù)我前面說的原因，這個(gè)網(wǎng)址中國大陸用戶是打不開地。

　　這個(gè)列表中，我們看到，網(wǎng)易云音樂、滴滴出行、高德地圖、下廚房、12306、喜馬拉雅、簡書、同花順、中國聯(lián)通手機(jī)營業(yè)廳都赫然在列。不過我還是說一句，只要你裝了微信，那這個(gè)表看不看意義不大了……反正都得換。

　　關(guān)于這次大規(guī)模爆發(fā)的蘋果iPhone后門事件，淼叔會(huì)隨時(shí)在山寨發(fā)布會(huì)的微信公眾號(hào)上更新動(dòng)態(tài)。因?yàn)樯秸�發(fā)布會(huì)里各家公司的代表基本都在，他們會(huì)及時(shí)確認(rèn)自家App是否中招，以及評(píng)估可能出現(xiàn)的損失。

　　這是最權(quán)威的更新發(fā)布，都會(huì)及時(shí)更新在公眾號(hào)里。大家對(duì)山寨發(fā)布會(huì)微信公眾號(hào)回復(fù)一個(gè)“ghost”或者“動(dòng)態(tài)”，就能看到最新動(dòng)態(tài)。