XcodeGhost阴魂不散：出现变种，仍有两百多家企业受感染！

一名中国开发人员窜改苹果专为Mac OS X与iOS所设计的Xcode程式开发环境，并借由云端硬盘释出改版的XcodeGhost，导致许多合法程式误用而引起轩然大波。受到波及的程式虽己被移除或更新，但资安业者FireEye指出，受到XcodeGhost感染的程式依旧造成威胁，并入侵德国及美国市场。而且市场上已出现XcodeGhost变种XcodeGhost S，可绕过iOS 9的安全机制。

XcodeGhost能够传送装置与程式资讯至远端服务器，打造XcodeGhost的中国开发人员对外宣称这是一场错误的实验，而且已在今年9月关闭XcodeGhost的C&C服务器。当时FireEye的估计，至少有4000款iOS程式采用了XcodeGhost。苹果已移除所有相关程式，而业者也已更新受到感染的程式。另外苹果还以专门页面提供说明。

FireEye表示，他们从4周前开始监控XcodeGhost的相关活动，发现受到XcodeGhost感染的应用程序仍在210家企业的内部网络中运作，尝试存取XcodeGhost命令暨控制（C&C）服务器的次数超过2.8万次，虽然XcodeGhost的C&C服务器并不是由骇客所操控，但骇客却能够挟持连至C&C服务器的流量，利用所挟持的流量在App Store之外散布程式、强迫浏览恶意网页，或是启动网钓攻击。

这些从企业连至XcodeGhost命令暨控制服务器的流量主要来自于德国（62%）、美国（33%）、法国（3%）、荷兰（2%）与日本（0.09%）。受到感染的领域则以教育产业居冠，占65%，居次的高科技产业则占13%。

让XcodeGhost继续活跃的主要因素为使用者并未移除或更新受到感染的程式，虽然有些企业会直接封锁连至XcodeGhost命令暨控制服务器的流量，但使用者一脱离企业网络就会面临安全风险。

此外，FireEye还发现了XcodeGhost变种，并将其命名为XcodeGhost S，此一新的变种可绕过iOS 9的安全机制。

根据FireEye的说明，苹果在iOS 9中新增了NSAppTransportSecurity功能，以确保客户端与服务器端的连线是基于加密的HTTPS通讯，但该功能具备例外条款，仍可设定HTTP传输，XcodeGhost S即利用此一例外条款绕过新的安全机制。

目前FireEye已发现一款中国程式“自游邦”采用了XcodeGhost S，自游邦为一旅游购物平台，且同时在美国与加拿大的App Store上架。受到XcodeGhost S感染的自游邦是在9月15日更新，显示在XcodeGhost事件爆发时，就有此一变种的存在。（编译/陈晓莉）