蘋果App Store模式的出現，為第三方軟件的提供者提供了軟件銷售平臺，激勵了第三方開發(fā)者的積極性，同時也加大了市場對個性化軟件應用的需求。

這樣的應用商店模式固然方便，但是需要廠商對應用的審核嚴格把關才行，不然就容易出現漏洞。雷鋒網9月18日消息，根據烏云網和硅谷安全公司Palo Alto發(fā)布安全預警稱，在App Store商家的多個應用被注入Xcode第三方惡意代碼，這個代碼可以將用戶的信息發(fā)送到黑客的服務器上。目前得知，被感染惡意代碼的應用就包括國內知名應用網易云音樂，最新的v2.8.3版本的網易云音樂已經感染病毒，據知情人士爆料，除網易云音樂外，12306、中信銀行動卡空間等應用也受到了影響。

跟據技術分析，該病毒會收集應用和系統(tǒng)的基本信息，包括時間、bundle id(包名)、應用名稱、系統(tǒng)版本、語言、國家等，并上傳到init.icloud-analysis.com這個網址上，該網站域名為病毒作者申請，專用于收集數據。

對此，烏云網給出了相關建議，使用非官方渠道下載Xcode的iOS開發(fā)者請立刻展開清查和處理，惡意Xcode包含類似以下文件：

“/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService”

而正常的Xcode的SDK目錄下沒有Library目錄。

相對于其他的應用商店，蘋果一直非常奉行極其嚴苛的在安全策略，所以業(yè)內普遍認為，蘋果應用商店App Store安全性要高于谷歌的Google Play。但百密終有一疏，在此次漏洞之前，蘋果的App Store就曾經被曝過幾次存在安全漏洞的問題，皆因App Store的審核程序漏洞之類的原因，導致惡意程序繞過審核而進入App Store。2013年，美國佐治亞理工學院的一組研究人員日前在App Store審核程序中找到了漏洞，可繞過審批程序向App Store輸入應用，用戶只要安裝注入了惡意代碼的應用，該應用就能夠執(zhí)行各種任務，如發(fā)送短信、電子郵件、在Twitter上發(fā)布消息、拍照、撥打電話，甚至重啟系統(tǒng)等行為。

不過相對那次漏洞，本次的Xcode惡意代碼并沒有那么嚴重，由于蘋果本身權限限制比較嚴格，這類信息的泄露相對來說威脅輕微，用戶并不必過分擔心賬號安全。目前只需等待開發(fā)者重新開發(fā)安裝包來替換原來的文件，到時用戶更新應用即可。

9月18日下午更新。

網易云音樂就該漏洞一事，在下午發(fā)布了公告，稱此次感染涉及信息皆為產品的系統(tǒng)信息，無法調取和泄露用戶的個人信息。目前感染源制作者的服務器已經關閉，不會再產生任何威脅。一下為公告全文：

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。