XcodeGhost事件完整回顾：病毒危害全接触

　　黑客可在受感染的iPhone中弹出内容由服务器控制的对话框窗口：以及远程执行指令类似于，黑客也可远程控制弹出任意对话框窗口。至于用途，将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来，反正我们是能够通过这几个功能，用一点点社工以及诱导的方式，在受感染的iPhone中安装公司证书App。装App干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?

　　图9 控制远程弹窗的恶意代码片段

　　远程控制模块协议存在漏洞，可被中间人攻击：在进行样本分析的同时，我们还发现这个恶意模块的网络协议加密存问题，可被轻易暴力破解。我们尝试了中间人攻击，验证确实可代替服务器下发伪协议指令到手机，成为这些肉鸡的新主人。

　　图10 存在安全漏洞的协议解密代码片段

　　如果说这一次只是对iOS的客户一次预警，那么对iOS越狱客户来说，所要承担的风险就更多了，通过第三方应用市场安装的应用没有经过安全审核，使用破解版、修改版的应用以及游戏，黑客们全部可在其中加入恶意代码来收集客户信息，如苹果帐户密码及支付信息等。

　　前不久也是来自乌云漏洞平台上的白帽子爆出了让人震惊的内幕：iPhone抢红包插件居然暗中收集客户的iCloud账号与明文密码!据悉目前已有22万余客户已被黑。所以，越狱以后千万不要安装来历不明的应用以及插件，如果你的苹果账号密码被获取，轻一点的可能被利用于刷榜，严重点的能够锁定你的苹果设备，然后让你花钱解锁。

　　图11 最近出现不少iPhone被恶意锁定的事件

　　更新：涅盘团队(来自@360NirvanTeam)在进一步的分析中找到了XcodeGhost的恶意行为：

　　恶意行为一：做应用推广。途径是：首先检测客户手机上是否安装了目标应用，如果目标应用没有安装，则安装相应应用，其中目标应用由C2服务器控制。

　　恶意行为二：伪造内购页面。

　　恶意行为三：通过远程控制，在客户手机上弹窗提示。

　　XcodeGhost作者声明：这只是个错误的实验

　　然而随后一个疑似XcodeGhost作者的声明却是另一个的解释。作者声明XcodeGhost只是一个错误的实验，所收集的数据皆为基本的App信息，没有涉及客户的隐私信息，只是身处私信加入了广告功能，但是该广告功能没被使用。作者已主动关闭服务器，并且删除了一切收集的数据。

　　图12 疑似XcodeGhost作者的声明

　　不管如何，XcodeGhost事件都给国内软件工具厂商敲响了警钟。

　　开发工具为何不用官方网站？安卓更加凄惨

　　为何许多开发人员都不在官方网站下载Xcode?大家都知道，要下载到无修改版本的软件工具，最好的方式应该是从其官方网站网站进行下载，而从许多小型下载站下载到的版本，要么被恶意捆绑，要么根本就不是你想要的安装文件。

　　那么开发人员肯定知道这个规则，为何他们不去官方网站下载呢?这个与Mac APP Store下载速度不无关系，下载个Xcode花费几十分钟十分正常，而是使用非官方网站国内下载渠道则快捷的多。于是有许多开发人员直接下载网友上传到网盘的Xcode文件而导致中招。当然可能还有其它原因。

　　值得一提的是，相对苹果工具的下载慢，安卓的开发工具Android Studio、Android SDK的官网由于被墙，导致无法通过常见渠道去到官网进行下载，更加容易出现XcodeGhost类似于事件，只盼望开发人员记得校验下载到的文件。

　　图13 404中的Android SDK官网

　　迅雷躺枪？用迅雷在官网下载也会中招？实测一下

　　至于有消息称，由于称迅雷服务器受到感染，即时是官方网站下载地址使用迅雷会下载依然会下载到含有恶意代码的Xcode，真的是这样么?

　　笔者窃以为这是迅雷无辜躺枪，迅雷的离线下载功能以及高速下载功能应该会进行类似于于SHA1值等的文件校验操作，而不是单纯的文件名与文件大小对照，要不早就恶意软件工具满天飞了，再说官方网站版与恶意版本的大小相差6M，大小也不一样，迅雷不会这么没谱吧，除非迅雷服务器惨遭入侵。

　　迅雷官方网站的的回应如下：对Xcode被植入恶意代码一事，有猜测迅雷第一时间安排工程师进行检测，并对照了离线服务器上的文件，结果都与苹果官方网站下载地址的文件信息一致。也就是说，官方网站链接的Xcode经迅雷下载不会被植入恶意代码。

　　“SHA1值为“a836d8fa0fce198e061b7b38b826178b44c053a8”这个被篡改的Xcode6.4文件，最早是从百度网盘添加到离线下载当中的，也就是说客户最早是在百度网盘上看到这个文件，然后使用离线下载创建了任务来下这个文件而已。该文件连文件大小都比官方网站版本大6.97MB”。

　　被恶意修改的Xcode6.4.dmg的sha1的是：a836d8fa0fce198e061b7b38b826178b44c053a8。官方网站Xcode6.4.dmg的sha1的是：672e3dcb7727fc6db071e5a8528b70aa03900bb0。

　　关于文件校验：每个文件都有都能够用文件校验程序算出一个固定的 校验码来，如 MD5、SHA1、CRC32，如果文件遭到修改，则对应校验码也会更改，所以校验码是查看文件是否遭到修改的最佳凭证。

　　如下载win10的官方网站光盘镜像文件，cn_windows_10_multiple_editions_x86_dvd_6846431.iso的

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!