Xcode事件分析 苹果安全神话被打破 iOS遭遇最大危机! (Xcode事件是什么时候发生的)

文章编号:40380 资讯动态 2024-12-03 滴滴APP

【编者按】本文来自乌云漏洞平台@蒸米、@迅迪。

Xcode事件分析:苹果安全神话被打破,iOS遭遇最大危机!

我们苹果设备上的APP都是由苹果Xcode开发工具所编写,但Xcode体积过于庞大,如果在苹果官方商店安装会非常缓慢,于是很多开发者会在网盘或迅雷下载。但这些非官方渠道的Xcode竟然暗藏杀机,利用开发者感染了企业上架的APP……

所以这次事件的逻辑是:

那么,现在已经发现被感染的APP有哪些呢?

0x00 目前发现的部分被感染APP

微博用户@图拉鼎 在本机上测试发现,已有10余个知名App中招:

微博用户@not_so_bad 发现,微信 v6.2.5版受影响,@腾讯用户服务 其微博下评论确认存在,并表示目前最新版微信已修复。

目前微博、推特上仍有网友发现有新应用存在问题。

0x01 序

事情的起因是@唐巧_boy在微博上发了一条微博说到:一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入。

Xcode事件分析:苹果安全神话被打破,iOS遭遇最大危机!

随后很多留言的小伙伴们纷纷表示中招,@谁敢乱说话表示:”还是不能相信迅雷,我是把官网上的下载URL复制到迅雷里下载的,还是中招了。我说一下:有问题的Xcode6.4.dmg的sha1是:a836d8fa0fce198e061b7b38b826178b44c053a8,官方正确的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0,大家一定要校验。”另外还有一位小伙伴表示他是在百度网盘上下载的,也中招了。

0x01 样本分析

在@疯狗 @longye的帮助下,@JoeyBlue_ 为我们提供了病毒样本:CoreService库文件,因为用带这个库的Xcode编译出的app都会中毒,所以我们给这个样本起名为:XCodeGhost。CoreService是在”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/”目录下发现的。

用ida打开,发现样本非常简单,只有少量函数。主要的功能就是先收集一些iPhone和app的基本信息,包括:时间,bundle id(包名),应用名称,系统版本,语言,国家等。如图所示:

Xcode事件分析:苹果安全神话被打破,iOS遭遇最大危机!

随后会把这些信息上传到 init.icloud-analysis.com。如图所示:

Xcode事件分析:苹果安全神话被打破,iOS遭遇最大危机!

并不是apple 的官方网站,而是病毒作者所申请的仿冒网站,用来收集数据信息的。

Xcode事件分析:苹果安全神话被打破,iOS遭遇最大危机!

目前该网站的服务器已经关闭,用whois查询服务器信息也没有太多可以挖掘的地方。这说明病毒作者是个老手,并且非常小心,在代码和服务器上都没有留下什么痕迹,所以不排除以后还会继续做作案的可能。

0x03 思考&总结

虽然XCodeGhost并没有非常严重的恶意行为,但是这种病毒传播方式在iOS上还是首次。也许这只是病毒作者试试水而已,可能随后还会有更大的动作,请开发者务必要小心。

这个病毒让我想到了UNIX 之父 Ken Thompson 的图灵奖演讲 “Reflections of TRusting Trust”。他曾经假设可以实现了一个修改的 tcc,用它编译 su login 能产生后门,用修改的tcc编译“正版”的 tcc 代码也能够产生有着同样后门的 tcc。也就是不论 bootstrap (用 tcc 编译 tcc) 多少次,不论如何查看源码都无法发现后门,真是细思恐极啊。

0x04 后续

我们将持续跟进这次事件。不过在网上,其实还有很多令人思考的地方,在文末也顺带给大家摘抄一部分:

微博用户@Saic

Drops读者yoyokko

Drops读者小奥

Drops读者flz

Drops读者jijiji

为照顾用户体验,部分技术分析已做精简。欲了解更多细节以及开发者防范方案,可进入 乌云平台原文 查看。

原创文章,未经授权禁止转载。详情见 转载须知 。

Xcode事件分析:苹果安全神话被打破,iOS遭遇最大危机!

全局中部横幅
时尚服饰

中服服装网(efu.com.cn)时尚频道是面向高端时尚人士、爱美时尚女性、时尚明星提供最新潮流时尚服饰服装搭配、风尚奢华时装、2013奢侈品趋势资讯的时尚门户媒体,图文视频并茂,是一部服装时尚品牌百科大全。

地铁跑酷下载2024安卓最新版

【豌豆荚】为你提供地铁跑酷APP安卓版下载,历史版本、旧版下载,查看2024最新地铁跑酷手机版介绍、应用截图、网友评论,方便快捷的将安卓版地铁跑酷应用免费下载到手机。

安贷通

安贷通首页是一个专注于个人贷款需求的在线借贷平台,提供快速、方便、低廉的贷款申请服务。我们提供多种类型的贷款产品,包括个人消费贷款、学费贷款、房屋贷款等,为用户打造一个一站式贷款平台。此外,我们还提供贷款指导和咨询服务,帮助用户更好地管理个人财务和享受健康的财务生活。来安贷通首页,体验高效的贷款流程和优质的服务吧!

发电机

江苏久远动力设备有限公司是专业的发电机厂家和柴油发电机组厂家,产品有玉柴发电机组,康明斯发电机组,沃尔沃发电机组,帕金斯发电机组,潍柴发电机.柴油发电机组价格公道.

中游知识

中游知识为您提供最全面的生活百科网站大全,主要为您提供数码、汽车、财经、美食、财经、科技、健康、教育、创业、电商、影视、百科等资讯信息,在这里可以找到您所需的答案,解决您所困惑的问题。

快乐学习

学易经传统文化免费查风水运势,风水布局,风水改运化煞,就到卢平辉改运网。

装修网

猎装网是一站式服务的装修设计服务三方平台网站,为业主提供装修设计服务、装修效果图参考、旧房二手房翻新服务,以及装修报价方案对比,装修先上猎装网-猎行家,装好房。

今日标讯

聚合全国全行业招标采购网站信息,覆盖2亿+标讯,每日更新15万+,所有标讯免费查看。大数据赋能营销,精准高效查找市场销售渠道,倍增市场销售效率。提供2000万+企业的联系电话,简单快速联系客户

全网标讯

全网标讯致力于为企业提供招投标、政府采购、拟在建项目、审批项目、工程招标信息等服务的招标网,全网标讯每日更新超过80000+数据为全国企业提供全行业及时有效招投标信息

深圳网站建设,深圳高端网站建设,微信小程序开发,高品质网站建设

深圳墨木创意设计网络有限公司,服务近百名知名大型企业,专注提供深圳、广州辐射全国的高端网站建设,品牌网站设计,网站优化等服务,11年的行业经验,让我们服务客户包括中国移动、华为科技、飞亚达集团、南玻集团等都给予我们高度的评价

邢台网站设计制作造网页微信小程序公众号开发优化推广

电话:13630818340,七星网络是专业从事互联网相关业务开发的公司,主要经营:邢台网站建设,邢台网站制作,邢台网页设计,邢台网站优化,邢台seo优化,邢台小程序开发,邢台公众号开发,宁晋网站建设,宁晋网站推广,宁晋网页制作,清河网站优化,广宗网站制作,任县网站建设,平乡建网站,企业视频等专门提供全方位的优质化服务和专业的网站建设方案,为企业打造全新电子商务平台。成熟的技术实力和完善的运营服务体系是七星网络IT应用服务的根基。

全局底部横幅