開發商透過非官方渠道下載Xcode肇禍。圖為連接至受感染版Xcode的搜尋網頁。 互聯網

      美國蘋果公司旗下的iOS App Store首次遭到大規模攻擊，多個合法軟件開發商，誤用被黑客植入惡意程式的Xcode開發工具，寫出有問題的應用程式（App）。估計超過300個Apps受感染，包括在中國甚至全球廣受華人歡迎的微信App，影響數以億計iPhone和iPad用戶，其個人資料有外泄風險。

滴滴打車、網易和騰訊等分別發出聲明，證實中毒。部分公司已提供修正更新。騰訊表示，微信僅iOS 6.2.5受影響，但6.2.6以後的版本沒有問題。這是首次發生大量有問題Apps進入蘋果應用商店的案例。研究人員說，惡意程式在Apps的主要行為，是收集蘋果裝置中的訊息數據。

有關惡意程式會令App自動上傳用戶訊息，包括App的名稱、版本、語言、安裝時間、iOS版本、裝置編號和類型等，能讀取和編輯使用者的剪貼簿，或是開啟特定的網頁，並有可能彈出以假亂真的警告訊息，騙用戶輸入iCloud密碼。

蘋果稱問題App已下架

阿里巴巴移動安全團隊最先在上周發現此惡意程式，並發表多篇文章詳細記錄。美國網路安全公司Palo Alto Networks表示，惡意程式透過非官方渠道提供的蘋果開發工具Xcode滲入，合法軟件開發商受騙誤用有問題的Xcode，因此寫出受感染的程式。

基於中國的嚴格網絡審查，許多開發人員不得不從非官方渠道獲得所需工具。而今次有問題的Xcode工具是透過受歡迎雲端分享平台「百度網盤」傳開。在發現問題後，百度已移除相關檔案。雖然涉及程式用戶眾多，但暫時未傳出有數據遭盜用導致損失等問題。有網絡保安公司稱，此程式作用有限，沒有非常嚴重的惡意行為，但事件揭露了新漏洞，不排除會引起其他攻擊者仿效。

蘋果App以審核嚴格著稱，此前只出現過5個惡意應用程式。今次是惡意程式首次成批避過審批上架，目前尚未知道惡意程式是怎樣避開審查。蘋果發言人莫納漢表示：「我們已經從App Store刪除了這些基於偽造工具開發的應用程式。我們正在與開發者合作，確保他們使用合適版本的Xcode重寫程式。」蘋果不願透露受影響程式的總數，也沒有說明如何檢查iPhone與iPad裝置是否受感染。

此外，據加通社報道，認為自己可能受影響的用戶，應將其App升級到最新版本；同時建議iPad和iPhone用戶修改所有密碼。