Xcode事件分析：蘋果安全神話被打破，iOS遭遇最大危機！

【編者按】本文來自烏云漏洞平臺@蒸米、@迅迪。

我們蘋果設備上的APP都是由蘋果Xcode開發工具所編寫，但Xcode體積過于龐大，如果在蘋果官方商店安裝會非常緩慢，于是很多開發者會在網盤或迅雷下載。但這些非官方渠道的Xcode竟然暗藏殺機，利用開發者感染了企業上架的APP……

所以這次事件的邏輯是：

黑客將包含惡意功能的Xcode重新打包，發到各大蘋果開發社區供人下載；

來自于各企業內的開發者下載安裝了包含惡意代碼的Xcode編寫APP；

惡意Xcode開始工作，向這些APP注入信息竊取功能；

被注入惡意功能的APP通過審核上架蘋果官方商店；

用戶在蘋果商店安裝了這些被感染的APP；

那么，現在已經發現被感染的APP有哪些呢？

0x00 目前發現的部分被感染APP

微博用戶@圖拉鼎 在本機上測試發現，已有10余個知名App中招：

網易云音樂（已回應確認）

滴滴出行

12306

中國聯通手機營業廳

高德地圖

簡書

豌豆莢的開眼（已回應確認）

網易公開課

下廚房

51卡保險箱

同花順

中信銀行動卡空間

仍然不短增長中……

微博用戶@not_so_bad 發現，微信 v6.2.5版受影響，@騰訊用戶服務 其微博下評論確認存在，并表示目前最新版微信已修復。

目前微博、推特上仍有網友發現有新應用存在問題。

烏云建議，使用非官方渠道下載Xcode的iOS開發者請立刻展開自查，并對受影響版本進行處理。雖然目前還沒發現問題應用會盜取用戶敏感信息，但建議用戶能開啟iCloud二次驗證，并保持良好的使用習慣。

0x01 序

事情的起因是@唐巧_boy在微博上發了一條微博說到：一個朋友告訴我他們通過在非官方渠道下載的 Xcode 編譯出來的 app 被注入了第三方的代碼，會向一個網站上傳數據，目前已知兩個知名的 App 被注入。

隨后很多留言的小伙伴們紛紛表示中招，@誰敢亂說話表示：”還是不能相信迅雷，我是把官網上的下載URL復制到迅雷里下載的，還是中招了。我說一下：有問題的Xcode6.4.dmg的sha1是：a836d8fa0fce198e061b7b38b826178b44c053a8，官方正確的是：672e3dcb7727fc6db071e5a8528b70aa03900bb0，大家一定要校驗。”另外還有一位小伙伴表示他是在百度網盤上下載的，也中招了。

0x01 樣本分析

在@瘋狗 @longye的幫助下，@JoeyBlue_ 為我們提供了病毒樣本:CoreService庫文件，因為用帶這個庫的Xcode編譯出的app都會中毒，所以我們給這個樣本起名為：XCodeGhost。CoreService是在”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/”目錄下發現的。

用ida打開，發現樣本非常簡單，只有少量函數。主要的功能就是先收集一些iPhone和app的基本信息，包括：時間，bundle id(包名)，應用名稱，系統版本，語言，國家等。如圖所示：

隨后會把這些信息上傳到 init.icloud-analysis.com。如圖所示：

http://init.icloud-analysis.com并不是apple 的官方網站，而是病毒作者所申請的仿冒網站，用來收集數據信息的。

目前該網站的服務器已經關閉，用whois查詢服務器信息也沒有太多可以挖掘的地方。這說明病毒作者是個老手，并且非常小心，在代碼和服務器上都沒有留下什么痕跡，所以不排除以后還會繼續做作案的可能。

0x03 思考&總結

雖然XCodeGhost并沒有非常嚴重的惡意行為，但是這種病毒傳播方式在iOS上還是首次。也許這只是病毒作者試試水而已，可能隨后還會有更大的動作，請開發者務必要小心。

這個病毒讓我想到了UNIX 之父 Ken Thompson 的圖靈獎演講 “Reflections of Trusting Trust”。他曾經假設可以實現了一個修改的 tcc，用它編譯 su login 能產生后門，用修改的tcc編譯“正版”的 tcc 代碼也能夠產生有著同樣后門的 tcc。也就是不論 bootstrap (用 tcc 編譯 tcc) 多少次，不論如何查看源碼都無法發現后門，真是細思恐極啊。

0x04 后續

我們將持續跟進這次事件。不過在網上，其實還有很多令人思考的地方，在文末也順帶給大家摘抄一部分：

微博用戶@Saic

拿文件看了一下，這個木馬劫持了所有系統的彈窗（例如 IAP 支付），然后向目標服務器發送了加密數據，目前還不知怎么解密發出去的請求

Drops讀者yoyokko

基本確定病毒先將信息post到服務器，收到服務器返回后，connectiondidfinishloading里調用response的block代碼，里面彈出alertview，如果這個alertview不是用來偽裝icloud密碼輸入框豈不是被人發現了？不確定服務器是否有開關來選擇性的彈出alertview。另外病毒有部分字符串被加密，病毒里還自帶encrypt和decrypt函數，居心叵測！！千萬別以為只上傳了部分非隱私的信息就放松警惕！

Drops讀者小奧

除了@圖拉鼎 曝光的幾個受到 XcodeGhost.Blackdoor 病毒的 App 外，我在 App Store 前50名里還找到了 @喜馬拉雅FM 這個 App。另外，根據自測，我本人購買的 @名片全能王 和 @掃描全能王 同時中招。 今天自查的 app 出現此后門的有 滴滴出行 高德地圖 喜馬拉雅FM 名片全能王、掃描全能王、下廚房、51卡保險箱、同花順、中信銀行動卡空間、中國聯通手機營業廳、簡書、豌豆莢-開眼、網易公開課、網易云音樂、滴滴出行、12306。

Drops讀者flz

有可能哦，曾經出現過在桌面沒有什么操作也好幾次莫名的彈出要求輸入icloud密碼的框框的現象，不知道和這個有沒有關系。另外，我看了路由器上privoxy的日志，那個域名最早是9.1出現的。

Drops讀者jijiji

想不通為啥這幫寫代碼的放著正版的，一鍵下載安裝的，自動升級的xcode不用，非要跑去網盤上下xcode。而且網易這么大的公司對開發工具和環境沒有管理么，沒有流程么？感覺好山寨啊

為照顧用戶體驗，部分技術分析已做精簡。欲了解更多細節以及開發者防范方案，可進入烏云平臺原文查看。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。