微博用戶 JoeyBlue_ 發消息稱:「一個朋友告訴我他們用了在非官方管道下載的 Xcode 編譯出來的 app 被注入了協力廠商的代碼,會向一個網站上傳數據,目前已知兩個知名的 App 被注入。」下午,烏雲網一篇題為「XCode編譯器裡有鬼– XCodeGhost樣本分析」的文章對整個事件做了簡單梳理。
有興趣研究這個漏洞的讀者,可以仔細閱讀一下烏雲網的技術文章。
值得一提的是,Twitter 上已經有用戶進行了實際測驗,發現目前受到影響的 App 不僅限於前文所述的兩個知名 App,而且包括其他同樣使用範圍廣泛的 App 應用,其中就包括滴滴出行和高德地圖。
Twitter 用戶 @fannheyward 下午發推,指出「網易雲音樂,中信銀行動卡空間,12306,滴滴打車」會受到影響 (如圖)。
Twitter 用戶 @Aveline_Swan 發推文,補充「中國聯通客戶端」也在受影響的 App 範圍之內 (如圖)。
Twitter 上有用戶提出質疑,認為這個問題和蘋果 App Store 的審核有關,但是也有 Twitter 用戶反駁 (如圖)。
受影響的 App 甚至還有號稱在國內佔有 80% 市場份額的高德地圖 (如圖)。
受到影響的包括豌豆莢旗下的 App 應用,該公司的官方 Twitter 帳號已經做出回應,表示工程師正在修復 (如圖)。
雖然是一次「泄露事件」,但是有 Twitter 用戶表示,「要感謝 XcodeGhost,揭露了行業太多問題。」
國內知名 App 被注入代碼:滴滴出行、高德地圖未能倖免
