Xcode 编辑器被植入后门漏洞报告 多款知名软件中招
Posted 云头条
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Xcode 编辑器被植入后门漏洞报告 多款知名软件中招相关的知识,希望对你有一定的参考价值。
危害:
目前已知漏洞会收集用户信息以及模仿iCloud登陆界面要求用户输入帐号密码。
一定受影响的App:网易云音乐
App列表(持续更新):
| 12306 | 4.5 |
| 51卡保险箱 | 5.0.1 |
| Lifesmart | 1.0.44 |
| 滴滴出行 | 4.0.0.6-4.0.0.0 |
| 滴滴打车 | 3.9.7.1 - 3.9.7 |
| 电话归属地助手 | 3.6.5 |
| 愤怒的小鸟2 | 2.1.1 |
| 夫妻床头话 | 1.2 |
| 高德地图 | 7.3.8 |
| 简书 | 2.9.1 |
| 口袋记账 | 1.6.0 |
| 马拉马拉 | 1.1.0 |
| 穷游 | 6.6.6 |
| 同花顺 | 9.60.01 |
| 豌豆荚的开眼 | 1.8.0 |
| 网易公开课 | 4.2.8 |
| 微信 | 6.2.5 |
| 我叫MT | 5.0.1 |
| 我叫MT 2 | 1.10.5 |
| 喜马拉雅 | 4.3.8 |
| 下厨房 | 4.3.2 |
| 讯飞输入法 | 5.1.1463 |
| 药给力 | 1.12.1 |
| 中国联通 | 3.2 |
| 中信银行动卡空间 | 3.3.12 |
| 自由之战 | 1.1.0 |
0x00 序
事情的起因是@唐巧_boy在微博上发了一条微博说到:一个朋友告诉我他们通过在非官方渠道下载的 Xcode 编译出来的 app 被注入了第三方的代码,会向一个网站上传数据,目前已知两个知名的 App 被注入。
随后很多留言的小伙伴们纷纷表示中招,@谁敢乱说话表示:”还是不能相信迅雷,我是把官网上的下载URL复制到迅雷里下载的,还是中招了。我说一下:有问题的Xcode6.4.dmg的sha1是:a836d8fa0fce198e061b7b38b826178b44c053a8,官方正确的是:672e3dcb7727fc6db071e5a8528b70aa03900bb0,大家一定要校验。”另外还有一位小伙伴表示他是在百度网盘上下载的,也中招了。
0x01 样本分析
在@疯狗 @longye的帮助下,@JoeyBlue_ 为我们提供了病毒样本:CoreService库文件,因为用带这个库的Xcode编译出的app都会中毒,所以我们给这个样本起名为:XCodeGhost。CoreService是在”/Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/Library/Frameworks/CoreServices.framework/”目录下发现的,这个样本的基本信息如下:
|
1
以上是关于Xcode 编辑器被植入后门漏洞报告 多款知名软件中招的主要内容,如果未能解决你的问题,请参考以下文章 |