XcodeGhost事件完整回顾：病毒危害全接触

　　XcodeGhose病毒

　　【下载之家网讯】 这两天，相信许多网友都被受“XcodeGhost”事件刷屏了，据@360NirvanTeam团队连夜扫描14.5万App，共发现344款App感染木马软件“XcodeGhost”，其中不乏有诸如百度音乐，微信，高德，滴滴，花椒，58同城，网易云音乐，12306，同花顺，南方航空，工行融e等这些有极大客户量的应用，涉及网络、金融、铁路、航空、游戏等领域。

　　由于涉及的热门应用不少，可说凡是使用苹果手机及平板的客户都已可能被牵涉此事件中了。那么什么是XcodeGhost事件?它会带来哪些的危害?如果中招，又该采取哪些措施呢?咱一起来看看。

　　图1 感染XcodeGhost木马程序App详细名称及版本号(来自@360NirvanTeam)

　　什么是XcodeGhost事件？

　　事件的起始应该是CNCERT推出了一篇《关于使用非苹果官方网站Xcode存在植入恶意代码情况的预警通报》，声称开发者使用非苹果企业官方网站渠道的Xcode工具开发苹果应用程序(苹果App)时，会向正常的苹果App中植入恶意代码。被植入恶意程序的苹果App可在App Store正常下载并安装使用。该恶意代码具有信息窃取行为，并具有进行恶意远程控制的功能。

　　接着是@唐巧_boy(ios开发工程师)推出一条消息“一个朋友告诉我他们通过在非官方网站渠道下载的Xcode编译出来的App被注入了第三方的代码，会向一个网站上传数据，目前已知两个知名的App被注入。”随后引发一堆人员的自查，接着就引爆了XcodeGhost事件。

　　图2 国家网络应急中心推出的预警通报

　　XcodeGhost事件：国内N个手机应用厂商，其中不乏大牌厂商开发人员由于使用了非官方网站途径下载的Xcode开发工具，而使用了这个被恶意修改后Xcode开发工具编译出来的iOS应用会被全自动加入一段恶意代码，该代码的作用是向一个网站(http://init.icloud-analysis.com)上传一系列数据，由于这个恶意Xcode使用者众多，对应的被推出的iOS应用也为数众多，加上不少是热门应用，如微信、12306、网易云音乐等，所以中招的客户估计也不在少数。

　　关于Xcode：Xcode是运行在操作系统Mac OS X上的集成开发工具(IDE)，由苹果企业开发，是开发OS X以及iOS应用程序的最快捷最普遍的工具。

　　图3 Xcode

　　一直以来，苹果iOS系统的安全性都值得肯定，只要你的苹果设备不进行越狱操作，一切的应用都在官方网站App Store中进行安装，这样安装的应用都能获得安全保障，因为一切入驻App Store的应用都必须经过苹果企业严格的安全审核，可是在这一次XcodeGhost事件中却让许多客户从官方网站App Store中也下载到了带毒应用，着实让客户毫无防备的中招。

　　图4 App Store

　　XcodeGhost带来的危害

　　根据乌云网站(www.wooyun.org)的分析，XcodeGhost的主要的功能是收集有些iPhone以及App的基本信息，包括时间、应用标识ID、应用名称、系统区域及语言、设备名字与类型、设备唯一标识UUID、网络类型，并上传到病毒作者的指定网址，该网站专门用于收集数据。

　　图5 恶意代码所收集的信息

　　XcodeGhost会把收集到的信息上传到init.icloud-analysis.com。如图所示：

　　图6 上传信息

　　目前该网站init.icloud-analysis.com的服务器已关闭，也就是说即使该恶意代码发送信息，也没有服务器接收。

　　乍看上去，该恶意代码收集的信息貌似并不涉及客户的隐私信息，可是另一个专业人士(@saic)对XcodeGhost的进一步分析却足以让许多iOS客户直冒冷汗。攻击者将会利用服务器返回来创建模拟弹窗，攻击者或许能通过弹窗来收集客户支付信息及苹果帐户信息。(从分析中看到伪造的弹窗并没有设置style，应该不会盗取密码。)

　　图7 弹窗分析

　　还有一个来自@图拉鼎 的分析：如 @Saic 微博所说，情况就是这样：当你在中招的App里完成了一次IAP内购，比如云音乐的付费音乐包，无论是输入密码还是Touch ID，那么一段加密的数据即发往了目标服务器。目前尚不知加密的内容是什么。

　　还有来自腾讯应急响应中心的有些分析：黑客能够通过上报的信息区分每一台iOS设备，然后如同已上线的肉鸡平常，随时、随地、给任意人下发伪协议指令，通过iOS openURL这个API来执行。 相信了解iOS开发的同学都知道openURL这个API的强悍，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还能够操作具备伪协议能力的大量第三方App。

　　图8 控制执行伪协议指令的恶意代码片段

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!