庆阳信息港

当前位置:

XcodeGhost病毒波及大量主流iO

2019/04/11 来源:庆阳信息港

导读

据乌云漏洞平台报道,国内多个厂商的App开发者使用了第三方途径下载的Xcode开发环境(非Apple正规途径),下载了被植入了恶意代码的iO

据乌云漏洞平台报道,国内多个厂商的App开发者使用了第三方途径下载的Xcode开发环境(非Apple正规途径),下载了被植入了恶意代码的iOS应用开发工具Xcode,导致其编译后应用感染上了一种名叫XcodeGhost的病毒,会自动发送信息至第三方远端服务器,这种病毒不仅会在应用运行时窃取用户信息,并有可能窃取用户的iTunes密码。

Xcode是运行在Mac OS X 上的集成开发工具。该工具由苹果公司研发,是目前常见的iOS应用开发工具。有部分iOS开发者没有从苹果的官方渠道下载Xcode开发工具,而是从迅雷、百度盘等第三方途径获得该工具,而病毒开发者正是利用了这一点。正是因为使用的是修改版的Xcode开发工具,所以做出来的应用自然也就是携带病毒的了。

这次XcodeGhost木马病毒的泛滥有可能和迅雷有关,一些开发者称,即使地址用的是官方地址,使用迅雷下载的Xcode依旧可以下载到被修改的带有木马病毒的Xcode安徽砀山黄桃

据360安全播报的统计,目前已知的被植入Xcode恶意代码的iOS应用有:

6.2.5 易云音乐 2.8.1 易云音乐 2.8.3 易公开课 4.2.8 图钉 7.7.2 同花顺 9.26.03 同花顺 9.60.01 铁路12306 2.1 天涯社区 5.1.0 天使房贷 5.3.0.2 - 5.3.0 三国名将 4.5.0.1 - 4.5.1 穷游 6.4.1 - 6.4 穷游 6.4.1 逆轉三國 5.80.5 - 5.80 南京银行 3.6 - 3.0.4 南方航空 2.6.5.0730 - 2.6.5 妈妈圈 5.3.0 联通营业厅 3.2 开眼 1.8.0 卷皮 3.3.1 简书 2.9.1 股票雷达 5.6.1 - 5.6 高德地图 7.3.8.1040 - 7.3.8 高德地图 7.3.8.2037 夫妻床头话 2.0.1 动卡空间 3.4.4.1 - 3.4.4 归属地助手 3.6.3 滴滴打车 3.9.7.1 - 3.9.7 滴滴出行 4.0.0 炒股公开课 3.10.02 - 3.10.01 百度音乐 5.2.7.3 - 5.2.7 自由之战 1.0.9 诊疗助手 7.2.3 造梦西游OL 4.6.0 下厨房 4.3.1 下厨房 4.3.2 我叫MT2 1.8.5 我叫MT 4.6.2 YaYa药师 1.1.1 YaYa 6.4.3 - 6.4 WO+创富 2.0.6 - 2.0.4 WallpaperFlip 1.8 VGO视信 1.6.0 UME电影票 2.9.4 UA电影票 2.9.2 Theme 2.4 - 2.4 Theme 2.4.2 - 2.4 Phone+ 3.3.6 Perfect365 4.6.16 OPlayer Lite 21051 - 2105 MTP管理微学 1.0.0 - 2.0.1 Mail Attach 2.3.2 - 2.3 Jewels Quest 2 3.39 H3C易查通 2棋牌游戏开发
.3 - 2.2 Digit God 2.0.4 - 2.0 Cute CUT 1.7 CarrotFantasy 1.7.0.1 - 1.7.0 CamCard 6.3.2.9095 - 6.3.2 Albums 2.9.2 AA记账 1.8.7 - 1.8 51卡保险箱 5.0.1 2345浏览器 4.0.1

针对XcodeGhost事件,官方公告如下:

目前,上传播6.2.5版本存在严重漏洞的说法,团队说明如下:

1.该问题仅存在iOS 6.2.5版本中,版本已经解决此问题,用户可升级自行修复,此问题不会给用户造成直接影响。

2.目前尚没有发现用户会因此造成信息或者财产的直接损失,但是团队将持续关注和监测。

3.技术团队具备成熟的 反黑客 技术,一旦发现黑客攻击,将时间做出技术对抗并及时锁定黑客具体信息,配合公安机关打击相关违法犯罪活动。

4.用户在使用过程中有任何问题,可通过公众号 团队 向我们反馈。

团队

2015年9月18号

迅雷的官方回应如下:

各位媒体朋友和迅雷用户:

对于今天爆出的Xcode被植入恶意代码一事,我们注意到有猜测称,迅雷服务器受到感染,导致使用迅雷会下载到含有恶意代码的Xcode。

迅雷时间安排工程师进行检测。工程师测试了乌云原文中提到的Xcode6.4和7.0两个版本的下载,检查了索引服务器中的文件校验信息,并对比了离线服务器上的文件中药枕采购
,结果都与苹果官方下载地址的文件信息一致。也就是说,官方链接的Xcode经迅雷下载不会被植入恶意代码。

感谢大家对迅雷的支持,请大家放心使用迅雷!

易云音乐的回应公告如下:

受非官方渠道开发工具XcodeGhost 感染 影响,iPhone端部分应用会上传产品自身的部分基本信息(安装时间,应用id,应用名称,系统版本,语言,国家)。

此次感染设计信息皆为产品的系统信息,无法调取和泄露用户的个人信息。目前感染制作者的服务器已关闭,不会产生任何威胁。

再次感谢大家对易云音乐一直以来的关注与支持。

有用户举报始作俑者的名为coderfun,主要以各类 iOS 开发论坛和微博留言区为据点,提供带有病毒版本的 Xcode 盘下载地址,其中包括了从 Xcode6.1-Xcode6.4 的所有版本,目前其真身不得人知。分析人士指出,病毒作者是个老手,并且非常小心,在代码和服务器上都没有留下什么痕迹。

还有有用户爆料称, XcodeGhost 病毒可以在未越狱的 iPhone 上伪造弹窗进行钓鱼攻击,其生成的对话窗口仿真度非常高,很难辨别。

因此,使用过上述应用的用户,应该立刻修改自己的iCloud密码,能加上 两步验证 ,保护苹果iCloud账户的较好方法是启用 两步验证 ,具体位置是: 我的 Apple ID - 管理您的 Apple ID ,选择 密码和帐户安全 。在 两步验证 下,选择 开始设置 ,用过用户修改过密码,那么今天申请,三天后才能开通。

不过,XcodeGhost事件并不表明苹果iOS的安全性相比安卓有什么问题,实际上,就开发环境来说,安卓也是一样的,苹果的开发软件下载速度慢,而安卓的开发软件不翻墙根本无法从官下载,大量安卓开发者都不是从官下载的开发环境,很多开发工具来路不明,因此安卓很可能也存在类似问题。

9月19日凌晨4:40分,XcodeGhost事件的始作俑者以 XcodeGhost-Author 的身份在新浪微博贴出致歉声明,称其只是一个实验性项目,并没有任何包含威胁性的行为。并公开了源码。声明原文如下:

关于所谓 XcodeGhost 的澄清

首先,我为XcodeGhost事件给大家带来的困惑致歉。XcodeGhost源于我自己的实验,没有任何威胁性行为,详情见源代码:

所谓的XcodeGhost实际是苦逼iOS开发者的一次意外发现:修改Xcode编译配置文本可以加载指定的代码文件,于是我写下上述附件中的代码去尝试,并上传到自己的盘中。

在代码中获取的全部数据实际为基本的app信息:应用名、应用版本号、系统版本号、语言、国家名、开发者符号、app安装时间、设备名称、设备类 型。除此之外,没有获取任何其他数据。需要郑重说明的是:出于私心,我在代码加入了广告功能,希望将来可以推广自己的应用(有心人可以比对附件源代码做校 验)。但实际上,从开始到终关闭服务器,我并未使用过广告功能。而在10天前,我已主动关闭服务器,并删除所有数据,更不会对任何人有任何影响。

愿谣言止于真相,所谓的 XcodeGhost ,以前是一次错误的实验,以后只是彻底死亡的代码而已。

需要强调的是,XcodeGhost不会影响任何App的使用,更不会获取隐私数据,仅仅是一段已经死亡的代码。

再次真诚的致歉,愿大家周末愉快。

后续:XcodeGhost事件时间线

Xcode是由苹果公司开发的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的快捷的方式,其具有统一的用户界面设计,同时编码、测试、调试都在一个简单的窗口内完成。

自2015年9月14日起,一例Xcode非官方供应链污染事件在国家互联应急中心发布预警后,被广泛关注,多数分析者将这一事件称之为 XcodeGhost 。攻击者通过对Xcode进行篡改,加入恶意模块,进行各种传播活动,使大量开发者获取到相关上述版本,建立开发环境,此时经过被污染过的Xcode版本编译出的App程序,将被植入恶意逻辑,其中包括向攻击者注册的域名回传若干信息,并可能导致弹窗攻击和被远程控制的风险。

本事件由腾讯相关安全团队于9月10日发现,并上报国家互联应急中心,国家互联应急中心发出了公开预警,此后PaolAlto Network、360、盘古、阿里、i春秋等安全厂商和团队机构,对事件进行了大量跟进分析、处理解读。

截止到2015年9月20日,各方已经累计发现共692种(如按版本号计算为858个)App确认受到感染。同时,有分析团队认为,相同的攻击者或团队可能已经对安卓开发平台采用同样的思路进行了攻击尝试。目前,已有分析团队发现的游戏开发工具Unity 3D也被同一作者进行了地下供应链污染,因此会影响更多的操作系统平台。从其感染面积、感染数量和可能带来的衍生风险来看,其可能是移动安全史上为严重的恶意代码感染事件之一。

暴露的问题真不少,1.中国强大的互联墙导致大家不能能直接从苹果官上直接下载原版而相当一部分人转而借助p2p机制下载,悲哀。2.躺枪的迅雷是算法漏洞在它开发的什么线程跳转之后没进行hash检验,简直是大作死。看看Thunder的解释吧。这是一壶醒脑汤。

2015/9/19 23:35:19 支持(6)反对(4) 回复

这个病毒还可能感染了迅雷/百度盘的服务器,从这两个地方下载的Xcode很多情况下都是不正确的,而Mac OS X又缺少相应的程序数字签名政策,所以请程序员们务必在苹果官使用自带浏览器下载Xcode。

2015/9/19 11:51:43 支持(3)反对(2) 回复

如果按照这个思路实施到eclipse和Android studio,那么后果不堪设想,因为众所周知的原因,国内Android开发者基本都是从盘或者其他第三方渠道下载的。而且我怀疑现在上流传的有很多有可能已经被植入后门了,所以我从一开始都坚持fq从官下载,虽然速度很慢。

2015/9/19 20:26:57 支持(5)反对(4) 回复

根据友图拉鼎的测试,iOS应用里被植入Xcode恶意代码的应用还有:中国联通的营业厅;2、高德地图;3、简书;4、豌豆荚的开眼;5、易公开课;6、下厨房;7、51卡保险箱;8、同花顺;9、中信银行动卡空间等,使用这些应用的用户请立刻修改自己的iCloud密码。

2015/9/19 10:22:18 支持(3)反对(3) 回复

如果本代码真是原博所言只是个实验,那么我要说:“好奇害死猫”!本次事件或许你会说是实验结果,或许也会有人说是苹果审核不够安全。但是,如此公开源码之后所带来的,必然是灾难性的广泛被利用,然后很可能是法律,奉劝技术大仙们不要干这样的事情。图样图森破,可惜了你的智商!!哎

2015/9/20 15:35:31 支持(3)反对(4) 回复

看关于所谓“XcodeGhost”的澄清想加上广告就知道了,明显是故意的,再说这些“各大公司”简直是傻布,我们平时注意点的人都只上官方下软件,就是想说官方安全,来源可靠,有签名,千算万算,败在这些中专毕业的纱布开发者身上,火大,有气没地出,只恨自己下这些软件,改密码去。

2015/9/19 12:45:56 支持(3)反对(5) 回复

有时候不是程序员不想重新搭建开发环境,而是项目经理的各种催,没时间。。其实这也暴露出一个问题就是项目经理也有错。有些项目经理不懂,搭建个环境也得一两天?梯子不好的时候下个Android sdk下个一两天。。所以如果项目经理开始能多给个一两天搭建开发环境,就可以尽量避免开发工具来路不正的风险

2015/9/20 13:51:32 支持(3)反对(7) 回复

(*)

验证(*)

标签

友情链接