9月18日中午,有网友发现第三方渠道下载的iOS开发工具 Xcode被插入恶意代码, 阿里移动安全专家分析,通过该恶意XCode编译的APP会把手机隐私信息,如时间,bundle id(包名),应用名称,系统版本,语言,国家等,发 送到病毒作者的服务器“init.icloud-analysis.com”上面,导致用户信息被大规模泄漏。
阿里安全进一步分析发现2015年初就有XCode6.1-6.4版本被插入恶意代码并提供下载,海量iOS App已受此问题影响。截至发稿前,AppStore上“网易云音乐”最新版本2.8.3及中信银行信用卡的应用“动卡空间”3.4.4版本已确认被感染。
阿里移动安全提醒广大用户,为避免个人信息被泄漏,建议及时删除中毒APP,待更新升级确保安全后再安装使用。开发者如需使用,务必从苹果官方渠道下载XCode。