ZKIZ Archives


蘋果IOS開發工具“中毒” 微信也中招了

來源: http://www.yicai.com/news/2015/09/4688135.html

蘋果IOS開發工具“中毒” 微信也中招了

一財網 李娜 2015-09-19 13:06:00

由於蘋果官方開發工具下載的繁瑣,不少軟件開發者都會通過第三方途徑而非蘋果官方下載Xcode,但如果不幸運的話,開發者也許會碰上一個所謂的“盜版”,更糟糕的是,這個盜版還存在著潛在的病毒。而在一周前,中國的很多開發者甚至是知名APP軟件均受到了“病毒”入侵。

蘋果的Xcode開發工具被“李鬼”篡改編譯後造成了也許是IOS歷史上最嚴重的一次“病毒”危機。

由於蘋果官方開發工具下載的繁瑣,不少軟件開發者都會通過第三方途徑而非蘋果官方下載Xcode,但如果不幸運的話,開發者也許會碰上一個所謂的“盜版”,更糟糕的是,這個盜版還存在著潛在的病毒。而在一周前,中國的很多開發者甚至是知名APP軟件均受到了“病毒”入侵。

9月19日,騰訊安全應急響應中心發布信息稱,12日在跟進一個bug時發現有App在啟動、退出時會通過網絡向某個域名發送異常的加密流量。經過一個周末加班的分析和追查,基本還原了感染方式、病毒行為、影響面。

而在昨日晚間9:43分,微信官方微博發布聲明表示,網上傳播微信6.2.5版本存在嚴重漏洞,目前最新版本微信已經解決此問題,用戶可升級微信自行修複,目前尚沒有發現用戶會因此造成信息或者財產的直接損失,但是微信將持續關註和監測。

已有六十多款應用“中招”

“目前嚴重的危害無法確認,因為服務下線了,但是建議用戶修改密碼。”360網絡攻防實驗室負責人陸羽對第一財經客戶端表示,目前"XcodeGhost"病毒已經“感染”了眾多常用APP。

“拿文件看了一下,這個木馬劫持了所有系統的彈窗(例如IAP支付),然後向目標服務器發送了加密數據,目前還不知怎麽解密發出去的請求。比方說,在中毒的應用中進行一次IAP(In-AppPurchase,智能移動終端應用程序付費的模式)內購,比如網易雲音樂中的TaylorSwift音樂包,此時輸入的密碼或者TouchID後,就有加密數據發往目標服務器,現在不清楚加密信息是什麽。因此,下載了中招應用的用戶的密碼都存在著泄露的危險。”四葉新媒體聯合創始人微博用戶Saic稱。

早在9月14日,國家互聯網應急中心(CNCERT)就已發布相關預警通報。

而目前中招的APP應用仍在不斷擴大中,按照版本號定位的百度音樂(5.2.7.3–5.2.7)、窮遊(6.4.1–6.4)、南方航空(2.6.5.0730–2.6.5)、天涯社區(2.1)、微信(6.2.5)等等應用均有涉及。

“微信技術團隊具備成熟的“反黑客”技術,一旦發現黑客攻擊,將第一時間做出技術對抗並及時鎖定黑客具體信息,配合公安機關打擊相關違法犯罪活動。”微信指出。

網易雲音樂則公告稱,“目前感染制作者的服務器已經關閉,不會再產生任何威脅”。

誰制造了病毒?

據了解,Xcode是運行在操作系統MacOSX上的集成開發工具(IDE),由蘋果公司開發,是開發OSX和iOS應用程序的最快捷最普遍的方式。

但在下載時,如果不是通過官方途徑,很容易下載到“盜版”的Xcode,而這個盜版的Xcode則會向一個網站(http://init.icloud-analysis.com)上傳用戶數據,這個網站是病毒作者用來收集用戶數據的,存在著潛在病毒名叫XcodeGhost。

有開發者在安全網站Wooyun上撰文稱,即使把蘋果官網上的下載URL複制到迅雷里下載,最終下載到的還是一個有毒的第三方Xcode開發工具,同理,另外從百度網盤上下載的Xcode編譯器也中招了,目前來看,除了從蘋果官方直接下載之外,任何第三方來源,甚至第三方下載渠道的Xcode工具都不能保證安全。

而在今天淩晨4:40分,一位自稱是病毒制造者的人以@XcodeGhost-Author身份出現在微博上發表致歉以及澄清聲明,表示XcodeGhost源於個人實驗,沒有任何威脅性行為,並公開了源碼。

該人士表示,所謂的XcodeGhost實際是苦逼iOS開發者的一次意外發現:修改Xcode編譯配置文本可以加載指定的代碼文件,於是寫下上述附件中的代碼去嘗試,並上傳到自己的網盤中。在代碼中獲取的全部數據實際為基本的app信息:應用名、應用版本號、系統版本號、語言、國家名、開發者符號、app安裝時間、設備名稱、設備類型。除此之外,沒有獲取任何其他數據。

“需要鄭重說明的是:出於私心,我在代碼加入了廣告功能,希望將來可以推廣自己的應用。但實際上,從開始到最終關閉服務器,我並未使用過廣告功能。而在10天前,我已主動關閉服務器,並刪除所有數據,更不會對任何人有任何影響。”上述人士表示,所謂的"XcodeGhost",以前是一次錯誤的實驗,不會影響任何App的使用,更不會獲取隱私數據,僅僅是一段已經死亡的代碼。

陸羽對記者表示,因為該網站域名註冊早在2015年2月25日,長期續一系列的隱藏和變換身份的操作,可能說明病毒制造者的行為是蓄意的。

沒有“絕對”安全

事實上,這已經不是蘋果產品第一次涉及“安全”事件,iOS此前曾被曝涉及多個“秘密後門”。

去年9月1日,眾多美國大腕女星像詹妮弗·勞倫斯、凱特·厄本、愛莉安娜·格蘭德以及維多利亞·嘉絲蒂等人的裸照接連曝光,有消息稱原因是有黑客攻擊了多個iCloud賬號所致。目前仍不清楚黑客如何侵入iCloud存儲服務獲取勞倫斯、厄本以及其他名人的不雅照片,但iCloud的安全性遭到了輿論的廣泛質疑。而就在同年8月中旬,蘋果還針對中國用戶的數據從國外轉存至中國電信雲存儲發表聲明稱,雲端服務商要加強數據中心的網絡安全防護,及時修補漏洞,防止黑客入侵和撞庫等盜號攻擊。

“從收益來看,安全投入並不直接產生效益。一般手機廠商說要建數據中心,沒有上千萬很難達成,比如500臺服務器,1臺5萬,就是2500萬的成本,還有這個數據中心帶來的帶寬費用以及流量等都是要考慮的因素。”酷派負責安全業務的相關負責人對記者表示。

“事實上,在大數據時代,保護自己的隱私並不容易,黑客只要願意,可能會攻破任何他想攻破的東西,只是時間問題。”上述酷派負責人認為,數據到雲端的傳輸過程,密碼傳到服務器的過程以及雲端存儲的過程都有可能遭受到黑客的入侵。

陸羽對記者表示,建議用戶立即修改AppleID密碼,以將損失的可能性降低。

附360網絡攻防實驗室確認的應用及具體版本號如下:

開眼1.8.0

聯通手機營業廳3.2

媽媽圈5.3.0

南方航空2.6.5.0730–2.6.5

南京銀行3.6–3.0.4

逆轉三國5.80.5–5.80

窮遊6.4.1

窮遊6.4.1–6.4

三國名將4.5.0.1–4.5.1

天使房貸5.3.0.2–5.3.0

天涯社區5.1.0

鐵路123062.1

同花順9.60.01

同花順9.26.03

圖釘7.7.2

網易公開課4.2.8

網易雲音樂2.8.3

網易雲音樂2.8.1

微信6.2.5

我叫MT4.6.2

我叫MT21.8.5

下廚房4.3.2

下廚房4.3.1

造夢西遊OL4.6.0

診療助手7.2.3

自由之戰1.0.9

卷皮3.3.1

簡書2.9.1

股票雷達5.6.1–5.6

高德地圖7.3.8.1040–7.3.8

高德地圖7.3.8.2037

夫妻床頭話2.0.1

動卡空間3.4.4.1–3.4.4

電話歸屬地助手3.6.3

滴滴打車3.9.7.1–3.9.7

滴滴出行4.0.0

炒股公開課3.10.02–3.10.01

百度音樂5.2.7.3–5.2.7

YaYa藥師1.1.1

YaYa6.4.3–6.4

WO+創富2.0.6–2.0.4

WallpaperFlip1.8

VGO視信1.6.0

UME電影票2.9.4

UA電影票2.9.2

Theme2.4–2.4

Theme2.4.2–2.4

Phone+3.3.6

Perfect3654.6.16

OPlayerLite21051–2105

MTP管理微學1.0.0–2.0.1

MailAttach2.3.2–2.3

JewelsQuest23.39

HowOldDoILook?HowOldAmI?-FaceAgeCamera3.6.7

H3C易查通2.3–2.2

DigitGod2.0.4–2.0

CuteCUT1.7

CarrotFantasy1.7.0.1–1.7.0

CamCard6.3.2.9095–6.3.2

Albums2.9.2

AA記賬1.8.7–1.8

51卡保險箱5.0.1

2345瀏覽器4.0.1

編輯:邊長勇

更多精彩內容
關註第一財經網微信號
PermaLink: https://articles.zkiz.com/?id=161056

車保匯:告別營業廳 微信也能買車險

來源: http://www.iheima.com/news/2015/0928/152182.shtml

車輛保險一直是車主頭疼的問題。除了國家硬性要求的交強險外,94.7%的車主都會繼續購買商業保險,但車險品種繁多且條款複雜,加上信息不對稱以及保險市場分散等原因,用戶查詢與購買車險的體驗難稱上乘。

而在向正勇看來,一個能夠接入各家保險公司,並進行車險比價的平臺能夠解決這個問題,這正是向正勇創業努力的方向。

2009年,向正勇來到深圳,負責華康保險深圳地區的工作。華康保險是一家全國性保險中介服務機構。而在此之前,向正勇已在泰康保險做了7年的培訓和銷售團隊管理,離職後又在福建、廣東等地做了多年的省級分公司總經理。

2012年,向正勇第一次接觸到車聯網,他被迷住了。在他看來,車聯網能夠將內部信息與外部信息進行連接,而這可以產生許多商業價值。車聯網數據互通的觀念徹底顛覆了他的思維,他認為這可以應用在保險業中,尤其是自己熟悉的汽車保險。

車險是強需求。除了國家硬性要求的交強險外,94.7%的車主都會繼續購買商業保險,但車險品種繁多且條款複雜,需要比價。而目前普通人買車險,除了一家家公司電話咨詢、營業廳咨詢以外,並無其他靠譜的比價方法。

造成這一現象的一個主要原因,是保險行業還沒有將車險數據與外部互聯網進行深度融合,車險信息被割裂在各家保險公司的數據孤島中,無法統一。

在保險行業工作多年的向正勇看到了這一機會,便想到做一個車險比價購買平臺。

一切從0開始。2014年4月,向正勇從公司辭職,拉上技術合夥人陳鴻雁,開始做底層技術開發,對接保險公司的業務系統,並建立數據模型、風控等體系。為此,公司還申請了全套的計算機知識產權。

經過1年的開發,5月12日,車保匯第一代產品上線測試,但由於保監會開始進行商業車險改革,並將黑龍江、山東、青島、廣西、陜西、重慶等6個地區設為商業車險改革試點地區,車保匯不得不在6月1日暫停下來進行調整,並開始進行新一輪的研發。據向正勇預計,第二代產品將於10月20日正式上線。

向正勇向i黑馬記者介紹,由於與各家保險公司的業務系統進行了對接,車保匯上的價格是100%精準的,並且已經可以同時比價12家保險公司。而在用戶端,保險價格為5分鐘顯示3家報價,並以公司資質進行排名。目前,車保匯與40家保險公司建立起緊密合作關系,第一期上線的有人保、平安、太平洋等12家品牌的車險。

對於C端用戶來說,車保匯的比價購買形式與其他互聯網金融產品類似。輸入車牌號等資料,選擇經濟、豪華等類型的保險方案,之後選擇保險公司的報價,並展現提供該價格的公司資質與評價。其產品將以微信公眾號商城的模式展現給C端用戶,相較於傳統的保險購買方式更為便捷。

對於B端車險銷售人員,尤其是個人車險售賣者來說,提高銷售業績和效率將會帶來很大的收入。在全國,保險代理人有330萬人,並且普遍收入不高。因此,有一套線上車險比價交易平臺能夠直接提高銷售人員的成交量和交易速度,有極大的想象空間。據向正勇介紹,其平臺上已匯聚了5000家B端商戶,包含4S店、車行、個人保險推銷員以及保險經銷商,而這一平臺將免費提供給B端商戶使用。

在向正勇看來,這些B端商戶對於車保匯平臺非常重要,他們不僅有大量的用戶來源,還能夠為車主提供保險服務,這也將成為平臺以及車險銷售商的增值收入來源。向正勇向i黑馬記者表示,未來車保匯還會進行新業務的研發銷售,例如將車險與服務進行掛鉤,向用戶提供增值服務。據向正勇預計,新業務的盈利空間將達到40%,而平臺方能夠大幅度讓利。

向正勇的夢想還不止於車險的比價交易,車聯網的夢想仍縈繞在他的腦海中。他認為,車聯網完全可以和比價交易平臺相結合,創造出新的商業價值。“車聯網連接了每一輛車的數據,這些數據包括車的地理位置、車況、行為記錄等,在與外在發生聯系、組網之後可以產生更多的商業利用價值。”

向正勇向i黑馬記者舉例:傳統的保險業沒法對移動物體進行風險把控,只能根據人的經驗進行揣測,或在事件發生後對其進行勘測、理賠。但連入車聯網後,通過對車輛數據的分析,保險公司能夠預測、判斷未來車輛情況,並對車輛的風險進行預警,甚至提前進行幹預。而這樣的未來,將是向正勇努力的方向。


版權聲明:本文作者汪晨,i黑馬原創。如需轉載請聯系微信號zzyyanan授權,未經授權,轉載必究。

PermaLink: https://articles.zkiz.com/?id=162225

騰訊微信也要做“共享單車”?不,Webike目前僅供內部員工使用

在共享單車之間的競爭愈發撲朔迷離時,今天又消息稱微信也推出了“Webike”來攪局。

不過,今日下午微信方面對第一財經記者表示,Webike是公司提供給內部員工的、可借用的單車,方便員工在辦公園區內出行,今天開始正式投入使用,公司此舉是為了倡導綠色出行,鼓勵健康環保的生活,也為大家提供出行方便,可以理解為公司的一項新福利,而並非是要正式進軍“共享單車”領域。

值得註意的是,騰訊此前還投資了Mobike單車。此前10月13日,mobike摩拜單車迎來了騰訊的戰略入股,有知情人士透露,投資金額約為數千萬美元,而本輪摩拜融資金額在1億美元以上。

PermaLink: https://articles.zkiz.com/?id=221575

Next Page

ZKIZ Archives @ 2019