Xcode安全事件背后黑手有迹可寻 360信息安全专家深夜紧急告警
Posted 360云
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Xcode安全事件背后黑手有迹可寻 360信息安全专家深夜紧急告警相关的知识,希望对你有一定的参考价值。
2015年9月17日,09:45 微博用户 @唐巧_boy 发文称通过在非官方渠道下载的Xcode编译出来的App被注入了第三方的代码,会向一个网站上传数据。随后接连有网友爆出有多款APP被爆检测出含恶意代码。
以下是360 Nirva Team(涅槃团队)监测出来有问题的APP:
App列表(最新更新):
| 自由之战 | 1.0.9 |
| 诊疗助手 | 7.2.3 |
| 造梦西游OL | 4.6.0 |
| 下厨房 | 4.3.1 |
| 下厨房 | 4.3.2 |
| 我叫MT2 | 1.8.5 |
| 我叫MT | 4.6.2 |
| 微信 | 6.2.5 |
| 网易云音乐 | 2.8.1 |
| 网易云音乐 | 2.8.3 |
| 网易公开课 | 4.2.8 |
| 图钉 | 7.7.2 |
| 同花顺 | 9.26.03 |
| 同花顺 | 9.60.01 |
| 铁路12306 | 2.1 |
| 天涯社区 | 5.1.0 |
| 天使房贷 | 5.3.0.2 - 5.3.0 |
| 三国名将 | 4.5.0.1 - 4.5.1 |
| 穷游 | 6.4.1 - 6.4 |
| 穷游 | 6.4.1 |
| 逆轉三國 | 5.80.5 - 5.80 |
| 南京银行 | 3.6 - 3.0.4 |
| 南方航空 | 2.6.5.0730 - 2.6.5 |
| 妈妈圈 | 5.3.0 |
| 联通手机营业厅 | 3.2 |
| 开眼 | 1.8.0 |
| 卷皮 | 3.3.1 |
| 简书 | 2.9.1 |
| 股票雷达 | 5.6.1 - 5.6 |
| 高德地图 | 7.3.8.1040 - 7.3.8 |
| 高德地图 | 7.3.8.2037 |
| 夫妻床头话 | 2.0.1 |
| 动卡空间 | 3.4.4.1 - 3.4.4 |
| 电话归属地助手 | 3.6.3 |
| 滴滴打车 | 3.9.7.1 - 3.9.7 |
| 滴滴出行 | 4.0.0 |
| 炒股公开课 | 3.10.02 - 3.10.01 |
| 百度音乐 | 5.2.7.3 - 5.2.7 |
| YaYa药师 | 1.1.1 |
| YaYa | 6.4.3 - 6.4 |
| WO+创富 | 2.0.6 - 2.0.4 |
| WallpaperFlip | 1.8 |
| VGO视信 | 1.6.0 |
| UME电影票 | 2.9.4 |
| UA电影票 | 2.9.2 |
| Theme | 2.4 - 2.4 |
| Theme | 2.4.2 - 2.4 |
| Phone+ | 3.3.6 |
| Perfect365 | 4.6.16 |
| OPlayer Lite | 21051 - 2105 |
| MTP管理微学 | 1.0.0 - 2.0.1 |
| Mail Attach | 2.3.2 - 2.3 |
| Jewels Quest 2 | 3.39 |
| How Old Do I Look? How Old Am I? -Face Age Camera | 3.6.7 |
| H3C易查通 | 2.3 - 2.2 |
| Digit God | 2.0.4 - 2.0 |
| Cute CUT | 1.7 |
| CarrotFantasy | 1.7.0.1 - 1.7.0 |
| CamCard | 6.3.2.9095 - 6.3.2 |
| Albums | 2.9.2 |
| AA记账 | 1.8.7 - 1.8 |
| 51卡保险箱 | 5.0.1 |
| 2345浏览器 | 4.0.1 |
关于事件的分析,已经有安全专家发过详细的说明了,这里引用乌云漏洞报告平台的逻辑梳理:
黑客将包含恶意功能的Xcode重新打包,发到各大苹果开发社区供人下载;
来自于各企业内的开发者下载安装了包含恶意代码的Xcode编写APP;
恶意Xcode开始工作,向这些APP注入信息窃取功能;
被注入恶意功能的APP通过审核上架苹果官方商店;
用户在苹果商店安装了这些被感染的APP;
事件简单梳理后,无论你是关注安全圈的专业人士、还是移动安全爱好者,还是像我一样连一句“hello world”都不会写的小白用户,这件安全事故的爆发到底意味着什么?对此,紧急连线了我司的安全专家宋申雷,以下是对话内容:
问:是否只有公布的那些版本App才有安全问题?
宋申雷:还有大量的app感染了恶意代码,目前360在扫描排查中,会持续更新公告。
问:网上公布的那些先删除应用再改iCloud 密码是否有用?
宋申雷:有用,有些厂商已经修复了被感染的app,有些厂商还不知情,另外这个病毒应该肆掠了很长时间,有可能你的icloud密码已经泄露了。
问:您认为此次ios 爆发如此罕见的安全事故背后导火索是什么?
宋申雷:大家一贯认为苹果的app是苹果自己私有的市场提供,默认认为安全,所以没有人太关注这块,结果有安全研究人员无意中发现的xcode开发工具被篡改了,开发人员最基本的开发环境都被黑客黑掉了,没想到牵出了这么一连串的安全事故。
问:IOS 曾被认为是最安全的移动系统,现在神话打破,消费者该如何保护自己。
答:消费者只能被动接受,督促第三方厂商和苹果自己重视安全。
问:能否追查到黑客的踪迹?
宋申雷:目前黑客已经被人肉,可能是某公司一名资深的苹果开发工程师,在网上到处发布篡改过的xcode开发工具。
问苹果:Xcode体积过大,苹果为什么不采用CDN等技术手段解决开发者下载慢这个问题?如果苹果早早的解决了,是不是应不会发生今天这样的事情呢?当然,世界上根本不会有“如果”… …
夜深了,但并不宁静~
就在刚刚,收到公司信息安全部发的邮件,以下为邮件内容,供大家参考:
苹果iPhone手机通过官方Appstore下载的应用程序已不再安全,请各位同事自查是否安装了带有病毒的应用程序,及时清理,并及时修改iCloud密码以及app相关密码
该病毒通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码后经由appstore上线发布,打开app会向一个网站上传数据导致。
该病毒会收集应用和系统的基本信息,包括时间、应用标识ID、应用名称、系统区域及语言、设备名字与类型、设备唯一标识UUID、网络类型,并上传到病毒作者的指定网址,该网站专门用于收集数据。
此外因公司有iOS产品项目的开发,从第三方源下载的 Xcode(苹果平台IDE)可能被植入恶意代码,使用受感染的 Xcode 编译、生成的应用中会被植入后门
请Mac OS以及iOS产品开发相关的同事自查Xcode的安全性
1.高优先级检测所有编译服务器、自动发布服务器中的 Xcode 是否被感染
2.开发者需要检查系统中所有版本的 Xcode 是否被感染
如果受感染,首先删除受感染的 Xcode,然后从 Mac AppStore 或者从开发者中心下载 Xcode
3.检测方法如下(如果 Xcode 中存在如下文件与目录,即可认为受感染)
1Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService,针对 iOS
2Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework,针对 iOS
3Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService,针对 iPhone 模拟器
4Xcode.app/Contents/Developer/Platforms/iPhoneSimulator.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework,针对 iPhone 模拟器
5Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/CoreService,针对 Mac OS X
6Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/Library/PrivateFrameworks/IDEBundleInjection.framework,针对 Mac OS X
以上是关于Xcode安全事件背后黑手有迹可寻 360信息安全专家深夜紧急告警的主要内容,如果未能解决你的问题,请参考以下文章