开发商透过非官方渠道下载Xcode肇祸。图为连接至受感染版Xcode的搜寻网页。 互联网

      美国苹果公司旗下的iOS App Store首次遭到大规模攻击，多个合法软件开发商，误用被黑客植入恶意程式的Xcode开发工具，写出有问题的应用程式（App）。估计超过300个Apps受感染，包括在中国甚至全球广受华人欢迎的微信App，影响数以亿计iPhone和iPad用户，其个人资料有外泄风险。

滴滴打车、网易和腾讯等分别发出声明，证实中毒。部分公司已提供修正更新。腾讯表示，微信仅iOS 6.2.5受影响，但6.2.6以后的版本没有问题。这是首次发生大量有问题Apps进入苹果应用商店的案例。研究人员说，恶意程式在Apps的主要行为，是收集苹果装置中的讯息数据。

有关恶意程式会令App自动上传用户讯息，包括App的名称、版本、语言、安装时间、iOS版本、装置编号和类型等，能读取和编辑使用者的剪贴簿，或是开启特定的网页，并有可能弹出以假乱真的警告讯息，骗用户输入iCloud密码。

苹果称问题App已下架

阿里巴巴移动安全团队最先在上周发现此恶意程式，并发表多篇文章详细记录。美国网路安全公司Palo Alto Networks表示，恶意程式透过非官方渠道提供的苹果开发工具Xcode渗入，合法软件开发商受骗误用有问题的Xcode，因此写出受感染的程式。

基于中国的严格网络审查，许多开发人员不得不从非官方渠道获得所需工具。而今次有问题的Xcode工具是透过受欢迎云端分享平台「百度网盘」传开。在发现问题后，百度已移除相关档案。虽然涉及程式用户众多，但暂时未传出有数据遭盗用导致损失等问题。有网络保安公司称，此程式作用有限，没有非常严重的恶意行为，但事件揭露了新漏洞，不排除会引起其他攻击者仿效。

苹果App以审核严格著称，此前只出现过5个恶意应用程式。今次是恶意程式首次成批避过审批上架，目前尚未知道恶意程式是怎样避开审查。苹果发言人莫纳汉表示：「我们已经从App Store删除了这些基于伪造工具开发的应用程式。我们正在与开发者合作，确保他们使用合适版本的Xcode重写程式。」苹果不愿透露受影响程式的总数，也没有说明如何检查iPhone与iPad装置是否受感染。

此外，据加通社报道，认为自己可能受影响的用户，应将其App升级到最新版本；同时建议iPad和iPhone用户修改所有密码。