Xcode安全事件背后黑手有迹可寻 360信息安全专家深夜紧急告警

Posted 360云

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Xcode安全事件背后黑手有迹可寻 360信息安全专家深夜紧急告警相关的知识,希望对你有一定的参考价值。

2015年9月17日,09:45 微博用户 @唐巧_boy 发文称通过在非官方渠道下载的Xcode编译出来的App被注入了第三方的代码,会向一个网站上传数据。随后接连有网友爆出有多款APP被爆检测出含恶意代码。


以下是360 Nirva Team(涅槃团队)监测出来有问题的APP:

App列表(最新更新):

自由之战 1.0.9
诊疗助手 7.2.3
造梦西游OL 4.6.0
下厨房 4.3.1
下厨房 4.3.2
我叫MT2 1.8.5
我叫MT 4.6.2
微信 6.2.5
网易云音乐 2.8.1
网易云音乐 2.8.3
网易公开课 4.2.8
图钉 7.7.2
同花顺 9.26.03
同花顺 9.60.01
铁路12306 2.1
天涯社区 5.1.0
天使房贷 5.3.0.2 - 5.3.0
三国名将 4.5.0.1 - 4.5.1
穷游 6.4.1 - 6.4
穷游 6.4.1
逆轉三國 5.80.5 - 5.80
南京银行 3.6 - 3.0.4
南方航空 2.6.5.0730 - 2.6.5
妈妈圈 5.3.0
联通手机营业厅 3.2
开眼 1.8.0
卷皮 3.3.1
简书 2.9.1
股票雷达 5.6.1 - 5.6
高德地图 7.3.8.1040 - 7.3.8
高德地图 7.3.8.2037
夫妻床头话 2.0.1
动卡空间 3.4.4.1 - 3.4.4
电话归属地助手 3.6.3
滴滴打车 3.9.7.1 - 3.9.7
滴滴出行 4.0.0
炒股公开课 3.10.02 - 3.10.01
百度音乐 5.2.7.3 - 5.2.7
YaYa药师 1.1.1
YaYa 6.4.3 - 6.4
WO+创富 2.0.6 - 2.0.4
WallpaperFlip 1.8
VGO视信 1.6.0
UME电影票 2.9.4
UA电影票 2.9.2
Theme 2.4 - 2.4
Theme 2.4.2 - 2.4
Phone+ 3.3.6
Perfect365 4.6.16
OPlayer Lite 21051 - 2105
MTP管理微学 1.0.0 - 2.0.1
Mail Attach 2.3.2 - 2.3
Jewels Quest 2 3.39
How Old Do I Look? How Old Am I? -Face Age Camera 3.6.7
H3C易查通 2.3 - 2.2
Digit God 2.0.4 - 2.0
Cute CUT 1.7
CarrotFantasy 1.7.0.1 - 1.7.0
CamCard 6.3.2.9095 - 6.3.2
Albums 2.9.2
AA记账 1.8.7 - 1.8
51卡保险箱 5.0.1
2345浏览器 4.0.1


关于事件的分析,已经有安全专家发过详细的说明了,这里引用乌云漏洞报告平台的逻辑梳理:

  1. 黑客将包含恶意功能的Xcode重新打包,发到各大苹果开发社区供人下载;

  2. 来自于各企业内的开发者下载安装了包含恶意代码的Xcode编写APP;

  3. 恶意Xcode开始工作,向这些APP注入信息窃取功能;

  4. 被注入恶意功能的APP通过审核上架苹果官方商店;

  5. 用户在苹果商店安装了这些被感染的APP;

事件简单梳理后,无论你是关注安全圈的专业人士、还是移动安全爱好者,还是像我一样连一句“hello world”都不会写的小白用户,这件安全事故的爆发到底意味着什么?对此,紧急连线了我司的安全专家宋申雷,以下是对话内容:

问:是否只有公布的那些版本App才有安全问题?

宋申雷:还有大量的app感染了恶意代码,目前360在扫描排查中,会持续更新公告。

问:网上公布的那些先删除应用再改iCloud 密码是否有用?

宋申雷:有用,有些厂商已经修复了被感染的app,有些厂商还不知情,另外这个病毒应该肆掠了很长时间,有可能你的icloud密码已经泄露了。

问:您认为此次ios 爆发如此罕见的安全事故背后导火索是什么?

宋申雷:大家一贯认为苹果的app是苹果自己私有的市场提供,默认认为安全,所以没有人太关注这块,结果有安全研究人员无意中发现的xcode开发工具被篡改了,开发人员最基本的开发环境都被黑客黑掉了,没想到牵出了这么一连串的安全事故。

问:IOS 曾被认为是最安全的移动系统,现在神话打破,消费者该如何保护自己。

答:消费者只能被动接受,督促第三方厂商和苹果自己重视安全。

问:能否追查到黑客的踪迹?

宋申雷:目前黑客已经被人肉,可能是某公司一名资深的苹果开发工程师,在网上到处发布篡改过的xcode开发工具。

问苹果:Xcode体积过大,苹果为什么不采用CDN等技术手段解决开发者下载慢这个问题?如果苹果早早的解决了,是不是应不会发生今天这样的事情呢?当然,世界上根本不会有“如果”… …

夜深了,但并不宁静~

就在刚刚,收到公司信息安全部发的邮件,以下为邮件内容,供大家参考:

苹果iPhone手机通过官方Appstore下载的应用程序已不再安全,请各位同事自查是否安装了带有病毒的应用程序,及时清理,并及时修改iCloud密码以及app相关密码

该病毒通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码后经由appstore上线发布,打开app会向一个网站上传数据导致。

该病毒会收集应用和系统的基本信息,包括时间、应用标识ID、应用名称、系统区域及语言、设备名字与类型、设备唯一标识UUID、网络类型,并上传到病毒作者的指定网址,该网站专门用于收集数据。

此外因公司有iOS产品项目的开发,从第三方源下载的 Xcode(苹果平台IDE)可能被植入恶意代码,使用受感染的 Xcode 编译、生成的应用中会被植入后门

请Mac OS以及iOS产品开发相关的同事自查Xcode的安全性

1.高优先级检测所有编译服务器、自动发布服务器中的 Xcode 是否被感染

2.开发者需要检查系统中所有版本的 Xcode 是否被感染

如果受感染,首先删除受感染的 Xcode,然后从 Mac AppStore 或者从开发者中心下载 Xcode

3.检测方法如下(如果 Xcode 中存在如下文件与目录,即可认为受感染)

1Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService,针对 iOS

2Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework,针对 iOS

3Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService,针对 iPhone 模拟器

4Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework,针对 iPhone 模拟器

5Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService,针对 Mac OS X

6Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework,针对 Mac OS X

以上是关于Xcode安全事件背后黑手有迹可寻 360信息安全专家深夜紧急告警的主要内容,如果未能解决你的问题,请参考以下文章

隐藏在浏览器背后的“黑手”

3范式

elasticsearch 源码本地环境搭建

数据库范式

数据库范式

数据库范式