中國的蘋果用戶遇上大事了。

　　之所以要強調中國，是因為這次大規(guī)模爆發(fā)的蘋果病毒（嚴格來說是一種后門漏洞）XcodeGhost，主要影響中國大陸人。

　　先說你們最關心的后門癥狀（其實這個描述了也沒卵用，后面你就知道為啥沒用了）。根據(jù)烏云知識庫里用戶@蒸米 的描述，所有中招的蘋果App，會收集一些iPhone和app的基本信息，包括：時間，bundle id(包名)，應用名稱，系統(tǒng)版本，語言，國家，然后發(fā)送到一個仿冒蘋果的網(wǎng)站（http://init.icloud-analysis.com）上。這些收集和發(fā)送動作都是后臺進行的，所以其實你們不會覺察到任何異常。

　　目前看來這些信息還不算太敏感。但有技術人員透露，這個后門也可能有一些代碼（未確認�。�，用來向用戶彈出要求登錄蘋果ID的請求框。而這一段代碼并不是每次都出現(xiàn)的，也就是說，現(xiàn)在可能還沒被監(jiān)測到。蘋果ID泄露了會怎么樣，請大家自行Google“好萊塢艷照”。

　　有哪些App中招了呢？很不幸，微信iPhone版，6.2.5，已經(jīng)確認。微信團隊昨晚（9月18日）21:43分通過官方微博承認了這一點：“網(wǎng)上傳播微信6.2.5版本存在嚴重漏洞的說法，微信團隊說明如下圖:1.該問題僅存在iOS 6.2.5版本中，最新版本微信已經(jīng)解決此問題……”

　　這就是淼叔說的“即使描述了中招癥狀也沒卵用”的原因。微信是國民App，在相對高端的蘋果用戶群體里應該更是必備應用。它都中招了，你還不得改Apple ID密碼，沒商量么。這也是我一開始說的“主要影響中國大陸用戶”的第一個原因。第二個原因是什么？往下看。

　　這個后門是怎么產(chǎn)生的呢？大家知道，開發(fā)蘋果iPhone上的App，有一款工具必不可少，就是蘋果自家出的Xcode。它要負責把源代碼編譯為可執(zhí)行的App，開發(fā)者才能把App上傳到蘋果應用商店后臺，經(jīng)過蘋果官方審核后，App在應用商店App Store上架，正式開放下載。

　　這次的問題就出現(xiàn)在Xcode上。后門制作者制造了一個“加料版”Xcode。凡是用這個Xcode編譯的App，里面就都會帶有本文一開始介紹的那個功能，自動發(fā)送用戶信息到一個仿冒服務器上。

　　這是相當高明的一個做法。普通病毒靠用戶和用戶之間傳播，速度再快，也受社交網(wǎng)絡關系的限制，也可能被第三方廠商查殺（因為這些廠商可以比對中毒文件與官方文件的差別）。但把病毒或者說后門植入到Xcode這個必備工具里，就從源頭污染了所有官方的App，比用戶之間傳播效率高多了。這些App有再不正常的舉動，也只能讓用戶和安全廠商以為這是官方設定，而不是病毒所致。

　　有人要問，那直接從蘋果官方下載Xcode不就行了嗎，明明該工具是免費的，用盜版也沒動力呀。其實吧，還真有動力。因為吧這個工具的體積不小，有2G多。而在中國大陸連接蘋果服務器下載這個軟件呢，據(jù)一些碼農(nóng)朋友哭訴，幾分鐘十幾分鐘就會斷線一次，還有下了通宵然后最后斷掉的。所以不得已就只能去一些軟件下載站尋找替代辦法。根據(jù)上述烏云帖子的分析，制毒者一開始也正是通過百度網(wǎng)盤散發(fā)帶毒Xcode的鏈接，從而引發(fā)擴散的。

　　至于為啥下載Xcode會這么慢呢？淼叔不敢明說，只知道其他國家好像很少人抱怨這個問題，似乎又是一個“中國國情”。具體原因，您可以自行Google“SICK四國”。

　　所有中招的用戶能做什么呢？

　　首先就是更改蘋果的Apple ID密碼，就是你在App Store里購買APP時要輸入的那個密碼，也是你登錄iCloud時輸入的密碼。其次，根據(jù)西祠胡同和孢子社區(qū)創(chuàng)始人@響馬 的建議，如果你在中招APP中輸入過信用卡帳號，進行過購買或者說內購行為，那就換信用卡吧。淼叔仔細回想了下，我應該是沒在這類App里輸入過信用卡，因為我一般直接在蘋果官方商店里充值……

　　最后，來看看還有哪些App中招了吧。你會發(fā)現(xiàn)不少熟悉的面孔呢。知乎用戶李浩宇建立了一個Google在線文檔列表，隨時更新這些中招App的名字和驗證方式。例如，網(wǎng)易云音樂和豌豆莢開眼已經(jīng)官方確認了中招，但更多的App還是靠網(wǎng)友自己抓包分析出來的（詳情點擊：文檔地址超鏈接）當然，根據(jù)我前面說的原因，這個網(wǎng)址中國大陸用戶是打不開地。

　　這個列表中，我們看到，網(wǎng)易云音樂、滴滴出行、高德地圖、下廚房、12306、喜馬拉雅、簡書、同花順、中國聯(lián)通手機營業(yè)廳都赫然在列。不過我還是說一句，只要你裝了微信，那這個表看不看意義不大了……反正都得換。

　　關于這次大規(guī)模爆發(fā)的蘋果iPhone后門事件，淼叔會隨時在山寨發(fā)布會的微信公眾號上更新動態(tài)。因為山寨發(fā)布會里各家公司的代表基本都在，他們會及時確認自家App是否中招，以及評估可能出現(xiàn)的損失。

　　這是最權威的更新發(fā)布，都會及時更新在公眾號里。大家對山寨發(fā)布會微信公眾號回復一個“ghost”或者“動態(tài)”，就能看到最新動態(tài)。