XCodeGhost事件然后呢

这两天,整个iOS开发者圈子都被 'XCodeGhost' 事件刷屏了,各大安全团队也都对事件,从各种角度进行分析,给我们安全外行人士还原了整个事情的前因后果,甚至已经人肉到了 'XCodeGhost' 的作者信息,苹果也下架不少的受到 'XCodeGhost' 感染的 APP. 本文我们就来梳理一下这件事情的来龙去脉吧,最后作为开发者或者普通的iOS用户,我们应该如何应对吧。

XCodeGhost 事件

XCode 作为苹果 APP 的标准开发工具, 几乎每一位开发者或者团队都使用 XCode 去开发 APP,XCode 通过编译,链接,打包将开发者的代码变成一个个运行在我们手机中的APP, 那么如果开发者所使用的 XCode 不是苹果官方提供的版本,而是随意在某些网盘随意下载的 XCode 的话,就很难保证开发的 APP 除了正常的代码之外是否被恶意的 XCode 加入非正常的编译选项,然后植入恶意代码模块,后果将不堪设想。

XCodeGhost 事件就是这么一个事件,由于网络原因,国内不少开发者没有下载使用苹果官方提供的 XCode 开发工具,而是图下载速度快,在某网盘,或者迅雷上下载 XCode, 更加让人不可思议的事,XCodeChost 作者似乎很懂 SEO,通过百度搜索 XCode 出来的页面,除了指向苹果 AppStore 的那几个链接之外,都是指向各种不同 ID 的百度网盘上,这些网盘的地址在各个开发社区,人气社区,下载站点上帖子均有存在,而根据腾讯安全应急响应中心的报告,从这些网盘上下载的 XCode, 在路径 Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/下,存在一个名为CoreServices.framework的 "系统组件" , 而从苹果官方下载的xcode安装包,却不存在这些目录和系统组件。也就是说,从这些网盘上下载的 XCode 安装包中,被别有用心的人植入了远程控制模块,通过修改 XCode 的编译参数,将这个恶意模块自动的部署到任何通过这个 XCode 编译的苹果 APP 中。

XCodeGhost 的危害

被植入这些恶意模块的 APP 将成为了黑客控制用户的工具,在 APP 受到污染之后.

植入的远程控制模块并不只一个版本。而现已公开的分析中,都未指出模块具备远程控制能力和自定义弹窗能力,而远程控制模块本身还存在漏洞可被中间人攻击,组合利用的威力可想而知。这个事件的危害其实被大大的低估了。

有哪些已知的 APP 受到污染呢

目前发现的受到污染的 APP 名单如下。

我们该怎么办呢

作为开发者,当然是确定自己 XCode 没有包含上述所说的模块,本人使用的任何软件基本是都是在官方网站上下载的,基本上没有什么问题。

作为普通的 iOS 用户,应该第一时间更改自己的 APP ID 的密码,如果担心自己在 iOS 设备输入的其他的密码有被盗的可能,那么也十分有必要进行修改.

最后

XCodeGhost 作者 @XcodeGhostSource 最后还将代码开发到 GitHub 上面: https://github.com/XcodeGhostSource/XcodeGhost, 并且声明说所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现:修改Xcode编译配置文本可以加载指定的代码文件,于是我写下上述附件中的代码去尝试,并上传到自己的网盘中... , 不知道各位客官怎么看,反正我是不相信啊,正如 @onevcat 所说的: 算个账,微信用户总数5亿日活70%。每天每人就算5个POST请求,每个请求300Byte,日流入流量就接近500G,以及17.5亿次请求。据说服务器扔在亚马逊,那么资费算一下每个月应该是存储$450,请求$260K。这还只是单单一个微信,再算上网易云音乐等等,每月四五十万刀仅仅是苦逼iOS开发者的个人实验?