XcodeGhost事件完整回顾：病毒危害全接触

副标题#e#

　　XcodeGhose病毒

　　【下载之家网讯】 这两天，相信许多网友都被受“XcodeGhost”事件刷屏了，据@360NirvanTeam团队连夜扫描14.5万App，共发现344款App感染木马软件“XcodeGhost”，其中不乏有诸如百度音乐，微信，高德，滴滴，花椒，58同城，网易云音乐，12306，同花顺，南方航空，工行融e等这些有极大客户量的应用，涉及网络、金融、铁路、航空、游戏等领域。

　　由于涉及的热门应用不少，可说凡是使用苹果手机及平板的客户都已可能被牵涉此事件中了。那么什么是XcodeGhost事件?它会带来哪些的危害?如果中招，又该采取哪些措施呢?咱一起来看看。

　　图1 感染XcodeGhost木马程序App详细名称及版本号(来自@360NirvanTeam)

　　什么是XcodeGhost事件？

　　事件的起始应该是CNCERT推出了一篇《关于使用非苹果官方网站Xcode存在植入恶意代码情况的预警通报》，声称开发者使用非苹果企业官方网站渠道的Xcode工具开发苹果应用程序(苹果App)时，会向正常的苹果App中植入恶意代码。被植入恶意程序的苹果App可在App Store正常下载并安装使用。该恶意代码具有信息窃取行为，并具有进行恶意远程控制的功能。

　　接着是@唐巧_boy(ios开发工程师)推出一条消息“一个朋友告诉我他们通过在非官方网站渠道下载的Xcode编译出来的App被注入了第三方的代码，会向一个网站上传数据，目前已知两个知名的App被注入。”随后引发一堆人员的自查，接着就引爆了XcodeGhost事件。

　　图2 国家网络应急中心推出的预警通报

　　XcodeGhost事件：国内N个手机应用厂商，其中不乏大牌厂商开发人员由于使用了非官方网站途径下载的Xcode开发工具，而使用了这个被恶意修改后Xcode开发工具编译出来的iOS应用会被全自动加入一段恶意代码，该代码的作用是向一个网站(http://init.icloud-analysis.com)上传一系列数据，由于这个恶意Xcode使用者众多，对应的被推出的iOS应用也为数众多，加上不少是热门应用，如微信、12306、网易云音乐等，所以中招的客户估计也不在少数。

　　关于Xcode：Xcode是运行在操作系统Mac OS X上的集成开发工具(IDE)，由苹果企业开发，是开发OS X以及iOS应用程序的最快捷最普遍的工具。

　　图3 Xcode

　　一直以来，苹果iOS系统的安全性都值得肯定，只要你的苹果设备不进行越狱操作，一切的应用都在官方网站App Store中进行安装，这样安装的应用都能获得安全保障，因为一切入驻App Store的应用都必须经过苹果企业严格的安全审核，可是在这一次XcodeGhost事件中却让许多客户从官方网站App Store中也下载到了带毒应用，着实让客户毫无防备的中招。

　　图4 App Store

　　XcodeGhost带来的危害

　　根据乌云网站(www.wooyun.org)的分析，XcodeGhost的主要的功能是收集有些iPhone以及App的基本信息，包括时间、应用标识ID、应用名称、系统区域及语言、设备名字与类型、设备唯一标识UUID、网络类型，并上传到病毒作者的指定网址，该网站专门用于收集数据。

　　图5 恶意代码所收集的信息

　　XcodeGhost会把收集到的信息上传到init.icloud-analysis.com。如图所示：

　　图6 上传信息

　　目前该网站init.icloud-analysis.com的服务器已关闭，也就是说即使该恶意代码发送信息，也没有服务器接收。

　　乍看上去，该恶意代码收集的信息貌似并不涉及客户的隐私信息，可是另一个专业人士(@saic)对XcodeGhost的进一步分析却足以让许多iOS客户直冒冷汗。攻击者将会利用服务器返回来创建模拟弹窗，攻击者或许能通过弹窗来收集客户支付信息及苹果帐户信息。(从分析中看到伪造的弹窗并没有设置style，应该不会盗取密码。)

　　图7 弹窗分析

　　还有一个来自@图拉鼎 的分析：如 @Saic 微博所说，情况就是这样：当你在中招的App里完成了一次IAP内购，比如云音乐的付费音乐包，无论是输入密码还是Touch ID，那么一段加密的数据即发往了目标服务器。目前尚不知加密的内容是什么。

　　还有来自腾讯应急响应中心的有些分析：黑客能够通过上报的信息区分每一台iOS设备，然后如同已上线的肉鸡平常，随时、随地、给任意人下发伪协议指令，通过iOS openURL这个API来执行。 相信了解iOS开发的同学都知道openURL这个API的强悍，黑客通过这个能力，不仅能够在受感染的iPhone中完成打开网页、发短信、打电话等常规手机行为，甚至还能够操作具备伪协议能力的大量第三方App。

　　图8 控制执行伪协议指令的恶意代码片段

#p#副标题#e#

　　黑客可在受感染的iPhone中弹出内容由服务器控制的对话框窗口：以及远程执行指令类似于，黑客也可远程控制弹出任意对话框窗口。至于用途，将机器硬件数据上报、远程执行伪协议命令、远程弹窗这几个关键词连起来，反正我们是能够通过这几个功能，用一点点社工以及诱导的方式，在受感染的iPhone中安装公司证书App。装App干什么?还记得几个月之前曝光的Hacking Team的iPhone非越狱远控(RCS)吗?

　　图9 控制远程弹窗的恶意代码片段

　　远程控制模块协议存在漏洞，可被中间人攻击：在进行样本分析的同时，我们还发现这个恶意模块的网络协议加密存问题，可被轻易暴力破解。我们尝试了中间人攻击，验证确实可代替服务器下发伪协议指令到手机，成为这些肉鸡的新主人。

　　图10 存在安全漏洞的协议解密代码片段

　　如果说这一次只是对iOS的客户一次预警，那么对iOS越狱客户来说，所要承担的风险就更多了，通过第三方应用市场安装的应用没有经过安全审核，使用破解版、修改版的应用以及游戏，黑客们全部可在其中加入恶意代码来收集客户信息，如苹果帐户密码及支付信息等。

　　前不久也是来自乌云漏洞平台上的白帽子爆出了让人震惊的内幕：iPhone抢红包插件居然暗中收集客户的iCloud账号与明文密码!据悉目前已有22万余客户已被黑。所以，越狱以后千万不要安装来历不明的应用以及插件，如果你的苹果账号密码被获取，轻一点的可能被利用于刷榜，严重点的能够锁定你的苹果设备，然后让你花钱解锁。

　　图11 最近出现不少iPhone被恶意锁定的事件

　　更新：涅盘团队(来自@360NirvanTeam)在进一步的分析中找到了XcodeGhost的恶意行为：

　　恶意行为一：做应用推广。途径是：首先检测客户手机上是否安装了目标应用，如果目标应用没有安装，则安装相应应用，其中目标应用由C2服务器控制。

　　恶意行为二：伪造内购页面。

　　恶意行为三：通过远程控制，在客户手机上弹窗提示。

　　XcodeGhost作者声明：这只是个错误的实验

　　然而随后一个疑似XcodeGhost作者的声明却是另一个的解释。作者声明XcodeGhost只是一个错误的实验，所收集的数据皆为基本的App信息，没有涉及客户的隐私信息，只是身处私信加入了广告功能，但是该广告功能没被使用。作者已主动关闭服务器，并且删除了一切收集的数据。

　　图12 疑似XcodeGhost作者的声明

　　不管如何，XcodeGhost事件都给国内软件工具厂商敲响了警钟。

　　开发工具为何不用官方网站？安卓更加凄惨

#p#副标题#e##p#分页标题#e#

　　为何许多开发人员都不在官方网站下载Xcode?大家都知道，要下载到无修改版本的软件工具，最好的方式应该是从其官方网站网站进行下载，而从许多小型下载站下载到的版本，要么被恶意捆绑，要么根本就不是你想要的安装文件。

　　那么开发人员肯定知道这个规则，为何他们不去官方网站下载呢?这个与Mac APP Store下载速度不无关系，下载个Xcode花费几十分钟十分正常，而是使用非官方网站国内下载渠道则快捷的多。于是有许多开发人员直接下载网友上传到网盘的Xcode文件而导致中招。当然可能还有其它原因。

　　值得一提的是，相对苹果工具的下载慢，安卓的开发工具Android Studio、Android SDK的官网由于被墙，导致无法通过常见渠道去到官网进行下载，更加容易出现XcodeGhost类似于事件，只盼望开发人员记得校验下载到的文件。

　　图13 404中的Android SDK官网

　　迅雷躺枪？用迅雷在官网下载也会中招？实测一下

　　至于有消息称，由于称迅雷服务器受到感染，即时是官方网站下载地址使用迅雷会下载依然会下载到含有恶意代码的Xcode，真的是这样么?

　　笔者窃以为这是迅雷无辜躺枪，迅雷的离线下载功能以及高速下载功能应该会进行类似于于SHA1值等的文件校验操作，而不是单纯的文件名与文件大小对照，要不早就恶意软件工具满天飞了，再说官方网站版与恶意版本的大小相差6M，大小也不一样，迅雷不会这么没谱吧，除非迅雷服务器惨遭入侵。

　　迅雷官方网站的的回应如下：对Xcode被植入恶意代码一事，有猜测迅雷第一时间安排工程师进行检测，并对照了离线服务器上的文件，结果都与苹果官方网站下载地址的文件信息一致。也就是说，官方网站链接的Xcode经迅雷下载不会被植入恶意代码。

　　“SHA1值为“a836d8fa0fce198e061b7b38b826178b44c053a8”这个被篡改的Xcode6.4文件，最早是从百度网盘添加到离线下载当中的，也就是说客户最早是在百度网盘上看到这个文件，然后使用离线下载创建了任务来下这个文件而已。该文件连文件大小都比官方网站版本大6.97MB”。

　　被恶意修改的Xcode6.4.dmg的sha1的是：a836d8fa0fce198e061b7b38b826178b44c053a8。官方网站Xcode6.4.dmg的sha1的是：672e3dcb7727fc6db071e5a8528b70aa03900bb0。

　　关于文件校验：每个文件都有都能够用文件校验程序算出一个固定的 校验码来，如 MD5、SHA1、CRC32，如果文件遭到修改，则对应校验码也会更改，所以校验码是查看文件是否遭到修改的最佳凭证。

　　如下载win10的官方网站光盘镜像文件，cn_windows_10_multiple_editions_x86_dvd_6846431.iso的

#p#副标题#e#

　　SHA1：21B824F402927E76C65160B62EB8A4EBBABE9C6E，把你下载回来的镜像文件使用校验工具进行SHA1的计算，如果非SHA1的值不是21B824F402927E76C65160B62EB8A4EBBABE9C6E，那么该镜像文件就是被修改了的，或是没有完整下载。

　　而迅雷官方网站也再次发表了声明：亲爱的雷友们，雷叔在了解到情况后第一时间进行了测试，使用迅雷下载了文中提到的XCode6.4以及7.0版本，并计算了下载完成后文件的SHA1值，均与原文中的正确值保持一致，没有发现问题。也就是说，官方网站链接的xcode经迅雷下载不会被植入恶意代码，请大家放心使用迅雷!

　　口说无凭，我们来实测一下，使用迅雷下载官方网站Xcode，版本号为6.4 ，下载地址为http://adcdownload.apple.com/Developer_Tools/Xcode_6.4/Xcode_6.4.dmg，下载时开启高速通道与离线下载，下载到的文件校验，MD5: FC57760B91DF8D45EE57BA80436E49A9 SHA1: 672E3DCB7727FC6DB071E5A8528B70AA03900BB0

　　图14 迅雷下载任务属性

　　图15 来源信息

　　图16 校验信息

　　无辜中招后的我们该怎么做？感染XcodeGhost怎么办？

　　由于被感染的应用为数众多，且不乏热门应用，虽然疑似作者声明并无危害，却是防范于未然，咱还是得小心为上。首先要做得是对照本文图1所示应用列表，看看自己的苹果设备(iPhone及ipad)有无安装对应应用，有的话请查看其版本(通常隐匿在“关于”里)是否是中招版本，有中招的应用，请先查看App Store有无更新版本，有则立刻更新新版本(也需对照此新版本有无中招)，无更新的做中止使用甚至卸载处理，坐等更新。对客户常用的微信，该问题仅存在iOS 6.2.5版本中，最新版本本微信已解决此问题，客户可升级微信自行修复。对中招客户，我们需要修改两个密码，一个当然是iCloud的密码。

　　具体步骤：

　　直接进入https://appleid.apple.com/cn→→管理你的Apple ID→重设密码→输入帐户→选择验证方式并通过验证→设置新密码。

　　图17 管理你的Apple ID

　　还有为Apple ID开启二次验证是个好用的主意，你开启了么?启用二次验证后，客户要登陆帐号就必须使用验证过的设备接收验证码，即时密码遭到泄漏对方也无法登陆帐户。

　　图18 你的Apple ID开启二次验证了么？

　　还有一个需要修改的是你的Apple ID对应绑定的验证邮箱密码。

　　而对开发人员，则需要检查自己应用中Xcode/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs目录下是否有除SDK外多余的文件，有的话删除，也就是中招了，如果用此Xcode推出过文件，请用官方网站Xcode重新编译并推出。

　　XcodeGhost病毒检测工具有木有？

　　最新消息：国内知名越狱及移动网络安全研究团队盘古，紧急开发了一个病毒检测工具，目前已提供下载链接。盘古团队表示，已检测到超过800个不同版本的应用感染了XcodeGhost病毒(目前最全)，更多的应用仍在检测中。“我们把检测结果化为云端能力, 紧急加班开发了一个病毒检测工具”，盘古团队称。

　　从说明来看，该工具专门用于检测本机应用是否感染XcodeGhost病毒病毒，云端库会定期更新。请尽量更新全部应用到最新版本本，部分应用请耐心等待开发者更新，在此期间请尽量减少使用这类应用。

　　目前已更新一个新版本, 兼容iOS7的客户...稍后会更新下感染数据库, 又新增了200条新的感染记录, 程序会继续不断改版, 修复bug..

　　ps.安装之后，需要在通用设置中信任该应用，具体可参看最后一张图。

　　下载地址：http://x.pangu.io/

　　苹果回应：已删除带毒应用

　　苹果发言人克里斯汀·莫纳汉(Christine Monaghan)在一封电子邮件中表示：“我们已从App Store删除了这些基于伪造工具开发的应用。我们正在与开发者合作，确保他们使用合适版本的Xcode去重新开发应用。”

　　她没有披露，iPhone与iPad客户应当采取什么样的措施，确定他们的设备是否被感染。

　　总结

　　XcodeGhost时间不仅给国内的开发人员敲响了一次警钟，也让iOS客户知道原本安全的iOS并非牢不可破，下载软件工具尽量用官方网站渠道，下载手机应用尽量用官方网站应用市场，但是可怜的安卓官方网站应用市场无法访问中。安卓不root，iOS不越狱。现在手机上的私人信息实在太多太多，联系人、短信、通话记录、照片、帐号密码等等的资料谁也不想被窃取，安全为上，小心为上!