关于Xcode自带病毒事件你必须要知道的几件事

jopen 4年前

关于Xcode自带病毒事件你必须要知道的几件事

样本文件中发现用以收集信息的函数

猿题库的 iOS 开发工程师在 9 月 17 日上午 9 点发了一篇微博,微博中描述了他的一位朋友在非官方渠道下载的 Xcode(苹果软件开发工具)居然自带病毒文件,造成的结果是,通过 Xcode 编译出来的 app 会被注入不知名的第三方代码,并且向陌生网站发送数据。

关于Xcode自带病毒事件你必须要知道的几件事

Xcode 是苹果的官方开发工具。乌云网称,开发者是用了非官方渠道下载的 Xcode,导致所开发的应用被注入了第三方代码,这会让被感染的 App 会主动向一个网站上传应用和系统的基本信息。

最新的进展是,目前感染制作者的服务器已关闭,已经不构成实质上的信息泄露。不过乌云网上有评论指出,该恶意代码除了会收集 App 使用信息外还可能会在 App 里以弹窗的形式骗取用户的 iCloud 或其他密码。

以下为乌云网安全预警报告:

不可信下载源 Xcode 包含恶意代码预警(已有企业 APP 发布受到影响)

9 月 17 日上午,微博用户@JoeyBlue_ 曝光称,有开发者用了非官方渠道下载的 Xcode 编译出来的应用被注入了第三方的代码,会向一个网站上传数据。目前已知两个知名应用被注入。

乌云知识库作者蒸米对注入的病毒样本“XcodeGhost“进行分析,确认了上述说法。经分析,该病毒会收集应用和系统的基本信息,包括时间、 bundle id (包名)、应用名称、系统版本、语言、国家等,并上传到 init.icloud-analysis.com (该域名为病毒作者申请,用于收集数据信息)。

那些 APP 受到了影响?

  • 网易云音乐

  • 网易公开课

  • 12306 移动端

  • 中信银行动卡空间

  • 下厨房

  • 中国联通手机营业厅

  • 中国联通的手机营业厅

  • 高德地图

  • 简书

  • 豌豆荚开眼

  • 滴滴出行

  • 51 卡保险箱

  • 同花顺

  • 中信银行动卡空间

对用户有什么影响?

目前来看,在 Xcode 中莫名加入的这段代码并没有什么恶意,只是收集部分数据,但是不得不防的是,未来很可能出现更加带有攻击性的病毒注入 Xcode,那么对于用户手机安全,这其中存在巨大的隐患。

XcodeGhost 创新在哪?

与以往的病毒嵌入思路不同,XcodeGhost 直接把病毒代码嵌入了开发工具源头,这种另类的传播方式直接让其在初期的传播广度上获得了非常好的效果,网易云音乐等热度 APP 中弹就是很好的证明。

为什么要从第三方下载 Xcode?

归根结底的原因还是在于国内 App Store 连接速度太慢,许多程序员为了提高效率,方便下载,会直接从各大论坛和网盘上找第三方资源,这就给一些不良少年提供了作案机会的可能性。

始作俑者是谁?

目前乌云网的部分代码专家查到代码传送信息指向到一个网址为: http://init.icloud-analysis.com 的假冒网站(冒充苹果官网),目前该网站已经关闭。

有用户举报始作俑者的网名为「coderfun」,主要以各类 iOS 开发论坛和微博留言区为据点,提供带有病毒版本的 Xcode 网盘下载地址,其中包括了从 Xcode6.1-Xcode6.4 的所有版本,目前其真身不得人知。

分析人士指出,病毒作者是个老手,并且非常小心,在代码和服务器上都没有留下什么痕迹,所以不排除以后还会继续作案的可能。

目前 XcodeGhost 还没有非常严重的恶意行为,但是这种病毒传播方式在 iOS 上还是首次。

为什么影响巨大?

根据国外网站 paloalto 的分析,coderfun 所释放的 Xcode dmg 文件先是被广泛发布到了 Douban, SwiftMi, CocoaChina, OSChina 这几个论坛网站,然后又再百度云出现了大量下载文件。

不仅如此,还成功感染了迅雷的离线服务器,也就是说,你常用下载软件是迅雷的话,输入官网的地址下载下来的 dmg 仍然有可能是被修改过的。

在这我们不得不佩服这个骇客四两拨千斤的能力。

该如何应对?

目前的许多网友提供了一些针对性的解决方案:

1. 从官方渠道下载 Xcode

2. 程序员开发应该更加严谨的使用经过校检的 Xcode 开发工具

3. 苹果改善官方 APP Store 连接速度

4. 官方 APP Store 改进 APP 审核机制

进展

网易云音乐已经针对此事发出公告

关于Xcode自带病毒事件你必须要知道的几件事

网友评价

@Alamo aka 狐狸:关于第三方渠道下载 Xcode 夹杂私货的问题,我有两句话要说,第一句是:「苹果公司 App 审核制度过分官僚,如同地铁安检,形同虚设。」第二句是:「你的 xcode.dmg 已经签收,签收人:草签」

@bちゃん: 针对编译器的病毒这种东西,我在一本很老旧的计算机病毒防护教材上看到过,也知道有个 tcc 注入 login su 的后门的说法,以为这种病毒费时费力,估计现在没什么人这么搞了。没想到还真有人干了这种事情,还是对 Xcode,真是何等丧病。我都开始怀疑是不是国内某些公司的所为了……

@Belleve:这是个处心积虑、策划多年的骗局,其手法之高明,说明攻击者要么是经验丰富的老道黑客,要么就是有专业的黑产公司。不同于年初时候那些依靠力量的攻击,这个骇客成功地实现了四两拨千斤,用最少的资源获取到了最多的隐私资料,而且过了甚久才被察觉。

这次的攻击绝对可以载入史册,绝对的。

来自: weibo.com