XcodeGhost 余孽未尽啊，没错 iOS QQ 说的就是你

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3060 天前的主题，其中的信息可能已经有所发展或是发生改变。

今天早晨收到了 IT 部门的邮件，在我的 iOS 设备上检测到了 xcodeghost ，要自带所有 iOS 设备到 IT 部门报到

We have received notification from the IT Security department that your computer has been infected with a virus named IOS/OSX XcodeGhost Infection. Per that notification, we have quarantined your account until you have complied with the following requirements.

You must bring all of your Apple devices: iPhones and iPads to the IT help desk located at xxx. This type of infection is only affecting mobile Apple devices. Because of the nature of the infection, you will not be able to scan the devices yourself. Please act quickly.

报道之后 IT 小哥调出我的账号记录说是一个叫 QQ 的 app ，要我当着他的面删掉所有 QQ 才解冻账号

我的 iOS 所有 app 都是更新到最新的，所以 QQ 也是 16.5.30 更新的 6.3.5

iOS

infection

xcodeghost

45 条回复 • 2016-06-22 18:32:30 +08:00

ctsed

2016-06-21 00:30:57 +08:00 via iPhone

什么公司能检测这么细致..

ufjfeng

2016-06-21 00:32:58 +08:00

@ctsed 所有接入内网智能设备要装 profile 和证书。非智能设备要注册 mac 地址，所以……

另外估计是把木马发出的连接目标放入了黑名单，发现连接就 block

yyfearth

2016-06-21 01:48:06 +08:00

@ctsed 现在的企业级智能防火墙之类的做到这样很容易的
移动设备要不加入 MDM 要么注册 MAC 否则不会让进入内网的

kawaiiushio

2016-06-21 03:51:28 +08:00

喜聞樂見

alexzuo

2016-06-21 05:59:25 +08:00

现在苹果自己审核的时候，又不检查了？

kn007

2016-06-21 07:19:42 +08:00

严谨的公司，不错。

Citrus

2016-06-21 08:21:05 +08:00 via iPhone

试了一下并没有在 QQ 最新版中发现相关痕迹，不知道楼主的 IT 部门是怎么检测出来的。。。

mortal

2016-06-21 08:21:50 +08:00

给你们公司点个赞~

Tink

2016-06-21 08:22:21 +08:00 via iPhone

卧槽，这公司好专业

Mirage09

2016-06-21 08:23:58 +08:00 via iPhone

简直了...

ufjfeng

2016-06-21 08:42:41 +08:00 via iPhone

@Citrus 我也不知道具体是怎么回事，只是把我自己的经历发了出来，另外，能否顺便帮忙检测一下最新的联通手机营业厅 app ？

anibear

2016-06-21 09:08:57 +08:00

@kawaiiushio 这不是卖共享 vpn 然后跑路的机智的阿卡林酱么也不说换个头像隐姓埋名还在这恶心大家

taklele

2016-06-21 09:19:04 +08:00

如果 qq 是从 app store 上下载的，那就是所有这个渠道的 qq 都有问题。
不仅仅你们公司的你一个人了...

ufjfeng

2016-06-21 09:31:40 +08:00

@taklele 是的我也很奇怪，但是 IT 的没有中国人，都不知道 QQ 是什么，只是告诉我是 QQ 引起的，唯一还能引起我怀疑的就是联通手机营业厅了，之前很久没运行过，前一天运行过一次，第二天账号就被锁了。其他的 app 要么非国产，要么几乎每天用

mystryl

2016-06-21 09:58:22 +08:00

给 IT 点赞技术不难意识重要

suduo1987

2016-06-21 10:11:40 +08:00 via iPhone

akring

2016-06-21 10:14:50 +08:00

@ufjfeng 感觉这个的可能性更大啊

lyragosa

2016-06-21 10:21:34 +08:00

我草，你们公司好 tm 专业……

panlilu

2016-06-21 10:26:41 +08:00

挺专业，学习了。

ufjfeng

2016-06-21 10:37:42 +08:00

@akring 但是删掉 QQ 之后就解封走人了，等下次升级了再装回去试试吧 -_-

akring

2016-06-21 10:53:58 +08:00

@ufjfeng 应该没跑了，看这个： http://www.techweb.com.cn/internet/2015-09-20/2204531.shtml ，第七条就是
鹅厂这种大厂在安全方面还是靠得住的（除了自己作恶的部分外），反而是有国企背景的公司靠不住，因为大量开发靠外包，至于安全问题嘛，能用就行要啥自行车？

nvidiaAMD980X

2016-06-21 11:03:05 +08:00 via Android

渣腾的人快出来洗地！！！蛤蛤！

helloSwift

2016-06-21 11:03:41 +08:00 via iPhone

还好手机里没下载 QQ

wclebb

2016-06-21 11:50:25 +08:00 via iPhone

@helloSwift 貌似即使装了对手机不会产生危害吧？

nvidiaAMD980X

2016-06-21 12:06:03 +08:00 via Android

@wclebb 监控你的所有 Apps,你说有没有危害？

mornlight

2016-06-21 13:19:42 +08:00

不要见风就是雨，我倾向是你们 IT 部门的误报， QQ 不太可能会出这种低级问题。

liuxl8964

2016-06-21 15:28:41 +08:00

@nvidiaAMD980X
不要见风就是雨
xcodeghost 本身没有突破 ios 的 app 沙盒，
危害顶多 app 内部比如丢失 QQ 号

kawaiiushio

2016-06-21 15:34:57 +08:00

@anibear 我为什么要逃我转手管你 P 事你个扑街仔也只会像条狗一样到处乱咬

gdtv

2016-06-21 15:36:29 +08:00

安卓联通手机营业厅 app ，被 DR.WEB 杀毒软件报毒

benbenzhangqi

2016-06-21 15:43:45 +08:00

给你们 IT 部门一个赞

wzxjohn

2016-06-21 15:46:13 +08:00

@akring 我滴妈大哥从火星来么？

akring

2016-06-21 15:48:37 +08:00

@wzxjohn 这个有啥不对？

wzxjohn

2016-06-21 15:50:28 +08:00

@akring 请看看新闻的日期

hljjhb

2016-06-21 16:10:28 +08:00

@nvidiaAMD980X 喷了，跳得不行

magzza

2016-06-21 16:15:52 +08:00

iphone 要是能控制软件的联网就好了。。。

akring

2016-06-21 16:45:58 +08:00

@wzxjohn 没错啊，去年 9 月的新闻，正是 XcodeGhost 爆发的时候，联通营业厅的 APP 当时就已经列入被感染名单了，属于有前科的类型，如果楼主 IT 部门没有误报的话，有两种可能：
1 、开发联通营业厅 APP 的团队又使用了有问题的 Xcode （人员离职交接，或者公司内部使用自己的软件库，导致新人在不知情的情况下继承了有问题的 Xcode ，或者装了有问题的 Xcode 的电脑，这在外包公司非常常见）
2 、假设楼主长年不用联通 APP ，那么手机上的 APP 还有可能保持在之前那个还没有修复的版本（甚至联通就一直都没有修复，当然这种可能性不大），导致了被 IT 检查出问题。

当然了，以上推测都是建立在 IT 没误报，以及假设 QQ 没有问题的基础上，建议楼主删除或更新联通 APP 后再找 IT 复查

akring

2016-06-21 16:49:58 +08:00

@liuxl8964 分析来看 XcodeGhost 是可以做到弹窗的，可以用来骗取用户的 AppleID （尤其是对 AppleID 机制不熟的新用户）
@nvidiaAMD980X iOS 上倒是无法监控其他 APP 的行为和数据， XcodeGhost 能做的主要是收集一些硬件信息，以及通过扫描查看你安装了哪些 App ，最要命的应该还是可以控制弹窗，进而诱骗用户做出危害账号安全的行为

anibear

2016-06-21 17:33:53 +08:00

@kawaiiushio 转让的意思就是把钱搂够然后跑路不管这样恶心的托词还好意思说出来？转让之后新东家的服务坚持过 2 个月？然后杳无音讯？贴吧上有人找你退款人家付款 95 你退人家 1 块这是你干的事吧我做人光明磊落不像你贴吧改昵称然后微博改微博改完推特改其实也没什么我就是提醒你把头像也换了你就这样嘴臭我不是来找你要钱的就当喂狗食了我也不是找你撕逼的只是这种人品也能这么跳有点不太懂这个世界关键词: 静云 vpn

skylancer

2016-06-21 17:35:00 +08:00

@magzza 请等 iOS 10 正式版

iOran

2016-06-21 17:44:04 +08:00

楼主啥公司，这么牛逼。感觉像思科这种巨头公司办的事儿～

ufjfeng

2016-06-21 22:02:55 +08:00

@akring 昨天在 IT 删掉了 QQ ，事后删掉了营业厅又在一个手机上装回了 QQ 。还没来得及登陆今天又收到了邮件，一会还要去一趟 IT

ufjfeng

2016-06-21 22:07:35 +08:00

@akring 营业厅可以确定是最新的，昨天重装了 QQ 又收到警告了，装上了还没登录

Jerry5850022

2016-06-21 22:13:56 +08:00

感觉好恐怖...

不过贵司的 IT 部门意识还是很好的！

mornlight

2016-06-21 23:00:23 +08:00

@ufjfeng 让你们 IT 把出发安全规则的请求拉出来看看 URL ，不然这种事根本查不清。

nvidiaAMD980X

2016-06-22 18:32:30 +08:00 via Android

@hljjhb 没喷，理性思考。
话说，你是渣腾派来洗地的吗？