“XcodeGhost”病毒之后,苹果更应注…-阿里云开发者社区

开发者社区> 开发与运维> 正文

“XcodeGhost”病毒之后,苹果更应注…

简介: 虽然大家都在期待中秋假期的到来,不过让开发者挺闹心的一件事就是这几天网上、朋友圈以及各种群中炒得沸沸扬扬的“XcodeGhost”病毒事件,就连央视也惊动了!! 事件起源 事件起源于CNCERT发布的一篇《关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报》,声称开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。

14.png

虽然大家都在期待中秋假期的到来,不过让开发者挺闹心的一件事就是这几天网上、朋友圈以及各种群中炒得沸沸扬扬的“XcodeGhost”病毒事件,就连央视也惊动了!!

事件起源

事件起源于CNCERT发布的一篇《关于使用非苹果官方Xcode存在植入恶意代码情况的预警通报》,声称开发者使用非苹果公司官方渠道的Xcode工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。随后多位知名iOS开发者在社交网络上验证了这则信息的真实性。

为什么使用了带病毒的Xcode?

从开发者给出的消息,我们知道并不是苹果官方的Xcode出现了问题,而是由于一些开发者觉得通过苹果官方渠道下载Xcode的速度实在是太慢了,就从非官方渠道下载了Xcode,结果这些Xcode被人做过手脚的。开发者使用带有XcodeGhost病毒的Xcode编译应用程序,从而导致应用被注入了第三方的代码,主动向某网站(目前已经关闭)上传输应用和系统的基本信息。

有多少款应用程序中招,以及可能存在的影响

根据央视的统计,包括百度音乐、微信、滴滴打车、58同城、网易云音乐等多款知名应用在内的350余款App被感染。

影响:

  • 在受感染的APP启动、后台、恢复、结束时上报信息至黑客控制的服务器。上报的信息包括:APP版本、APP名称、本地语言、iOS版本、设备类型、国家码等设备信息,能精准的区分每一台iOS设备。

  • 黑客可以下发伪协议命令在受感染的iPhone中执行。黑客能够通过上报的信息区分每一台iOS设备,然后如同已经上线的肉鸡一般,随时、随地、给任何人下发伪协议指令,通过iOS openURL这个API来执行。

  • 黑客可以在受感染的iPhone中弹出内容由服务器控制的对话框窗口。

  • 远程控制模块协议存在漏洞,可被中间人攻击。

15.jpg

不过,感染病毒的APP仅限于使用该Xcode的特定版本,并且不少应用程序已经更新了版本。比如网易云音乐、微信、滴滴打车等,所以开发者的当务之急是尽快更新应用版本,以免给用户带来不好的使用体验。

安全1.png

如何避免下载到带病毒的Xcode

为避免下载带有“XcodeGhost”病毒的Xcode版本,请开发者通过苹果官方渠道下载Xcode,同时应提高安全意识,注意开发工具、编译环境以及发布环境的安全性。
开发者补救措施
对于已经中招的APP,CocoaChina版主熊猫表示开发者可下载官方的Xcode,重新编译打包提交,并申请苹果加速审核。
如果开发者不确定此前使用带有“XcodeGhost”病毒的Xcode编译的版本是否被苹果发现,最好也使用官方渠道下载的Xcode重新编译提交审核,以免后期出现问题。如果不确定当前使用的Xcode是否带有“XcodeGhost”病毒,可参看《
XcodeGhost事件全程回顾》一文

病毒作者致歉声明的可信性

在大家对病毒技术以及危害进行分析时,一个名为“XcodeGhost-Author”的ID在微博上发布了一则致歉声明,表示XcodeGhost是自己一次错误的实验行为,以后只是彻底死亡的代码而已。该代码所获取的信息包括应用名称、应用和系统版本号、语言、国家名、开发者符号、APP安装时间、设备名称以及设备类型,此外没有获得其他任何数据。

011.jpg

对于作者的陈述,有开发者表示通过逆向工程对比发现,作者的陈述基本可信,但也有不少人表示质疑。因为除了基本的信息收集外,还有可能利用服务器返回来构造模拟弹窗,要求用户输入一些重要信息,还能实现跳过 App Store安装未经审核的安装包,以及通过应用推广获取利益和推送全功能远程控制程序。关于XcodeGhost存在的危险,可参看《XcodeGhost 实际用途猜测分析》一文。

苹果的态度

对于开发者来说,带有“XcodeGhost”病毒的应用则可能导致应用被苹果下架,目前苹果已经着手清理被感染的应用程序。苹果发言人克里斯汀·莫纳汉(Christine Monaghan)在一封电子邮件中表示:“我们已经从App Store删除了这些基于伪造工具开发的应用。我们正在与开发者合作,确保他们使用合适版本的Xcode去重新开发应用。”

根据CocoaChina版主熊猫提供的信息,在检测出应用包含恶意代码后,苹果已经电话通知应用存在安全问题。

苹果平台的安全性

相比较其他平台的应用商店,苹果App Store的审核已经是非常严格了,但此次事件被中国反审查维权组织Greatfire.org称为是苹果应用商店历史上波及范围最广、最严重的恶意攻击事件。这无疑提醒苹果仍需提高安全意识,此外也提醒苹果更要注意提高开发工具的安全性。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章