關于Xcode自帶病毒事件你必須要知道的幾件事

樣本文件中發現用以收集信息的函數

猿題庫的 iOS 開發工程師在 9 月 17 日上午 9 點發了一篇微博，微博中描述了他的一位朋友在非官方渠道下載的 Xcode（蘋果軟件開發工具）居然自帶病毒文件，造成的結果是，通過 Xcode 編譯出來的 app 會被注入不知名的第三方代碼，并且向陌生網站發送數據。

Xcode 是蘋果的官方開發工具。烏云網稱，開發者是用了非官方渠道下載的 Xcode，導致所開發的應用被注入了第三方代碼，這會讓被感染的 App 會主動向一個網站上傳應用和系統的基本信息。

最新的進展是，目前感染制作者的服務器已關閉，已經不構成實質上的信息泄露。不過烏云網上有評論指出，該惡意代碼除了會收集 App 使用信息外還可能會在 App 里以彈窗的形式騙取用戶的 iCloud 或其他密碼。

以下為烏云網安全預警報告：

不可信下載源 Xcode 包含惡意代碼預警(已有企業 APP 發布受到影響)

9 月 17 日上午，微博用戶@JoeyBlue_ 曝光稱，有開發者用了非官方渠道下載的 Xcode 編譯出來的應用被注入了第三方的代碼，會向一個網站上傳數據。目前已知兩個知名應用被注入。

烏云知識庫作者蒸米對注入的病毒樣本“XcodeGhost“進行分析，確認了上述說法。經分析，該病毒會收集應用和系統的基本信息，包括時間、 bundle id (包名)、應用名稱、系統版本、語言、國家等，并上傳到 init.icloud-analysis.com (該域名為病毒作者申請，用于收集數據信息)。

那些 APP 受到了影響？

• 網易云音樂

• 網易公開課

• 12306 移動端

• 中信銀行動卡空間

• 下廚房

• 中國聯通手機營業廳

• 中國聯通的手機營業廳

• 高德地圖

• 簡書

• 豌豆莢開眼

• 滴滴出行

• 51 卡保險箱

• 同花順

• 中信銀行動卡空間

• 等

對用戶有什么影響？

目前來看，在 Xcode 中莫名加入的這段代碼并沒有什么惡意，只是收集部分數據，但是不得不防的是，未來很可能出現更加帶有攻擊性的病毒注入 Xcode，那么對于用戶手機安全，這其中存在巨大的隱患。

XcodeGhost 創新在哪？

與以往的病毒嵌入思路不同，XcodeGhost 直接把病毒代碼嵌入了開發工具源頭，這種另類的傳播方式直接讓其在初期的傳播廣度上獲得了非常好的效果，網易云音樂等熱度 APP 中彈就是很好的證明。

為什么要從第三方下載 Xcode？

歸根結底的原因還是在于國內 App Store 連接速度太慢，許多程序員為了提高效率，方便下載，會直接從各大論壇和網盤上找第三方資源，這就給一些不良少年提供了作案機會的可能性。

始作俑者是誰？

目前烏云網的部分代碼專家查到代碼傳送信息指向到一個網址為： http://init.icloud-analysis.com 的假冒網站（冒充蘋果官網），目前該網站已經關閉。

有用戶舉報始作俑者的網名為「coderfun」，主要以各類 iOS 開發論壇和微博留言區為據點，提供帶有病毒版本的 Xcode 網盤下載地址，其中包括了從 Xcode6.1-Xcode6.4 的所有版本，目前其真身不得人知。

分析人士指出，病毒作者是個老手，并且非常小心，在代碼和服務器上都沒有留下什么痕跡，所以不排除以后還會繼續作案的可能。

目前 XcodeGhost 還沒有非常嚴重的惡意行為，但是這種病毒傳播方式在 iOS 上還是首次。

為什么影響巨大？

根據國外網站 paloalto 的分析，coderfun 所釋放的 Xcode dmg 文件先是被廣泛發布到了 Douban, SwiftMi, CocoaChina, OSChina 這幾個論壇網站，然后又再百度云出現了大量下載文件。

不僅如此，還成功感染了迅雷的離線服務器，也就是說，你常用下載軟件是迅雷的話，輸入官網的地址下載下來的 dmg 仍然有可能是被修改過的。

在這我們不得不佩服這個駭客四兩撥千斤的能力。

該如何應對？

目前的許多網友提供了一些針對性的解決方案：

1. 從官方渠道下載 Xcode

2. 程序員開發應該更加嚴謹的使用經過校檢的 Xcode 開發工具

3. 蘋果改善官方 APP Store 連接速度

4. 官方 APP Store 改進 APP 審核機制

進展

網易云音樂已經針對此事發出公告

網友評價

@Alamo aka 狐貍：關于第三方渠道下載 Xcode 夾雜私貨的問題，我有兩句話要說，第一句是：「蘋果公司 App 審核制度過分官僚，如同地鐵安檢，形同虛設。」第二句是：「你的 xcode.dmg 已經簽收，簽收人：草簽」

@bちゃん： 針對編譯器的病毒這種東西，我在一本很老舊的計算機病毒防護教材上看到過，也知道有個 tcc 注入 login su 的后門的說法，以為這種病毒費時費力，估計現在沒什么人這么搞了。沒想到還真有人干了這種事情，還是對 Xcode，真是何等喪病。我都開始懷疑是不是國內某些公司的所為了……

@Belleve：這是個處心積慮、策劃多年的騙局，其手法之高明，說明攻擊者要么是經驗豐富的老道黑客，要么就是有專業的黑產公司。不同于年初時候那些依靠力量的攻擊，這個駭客成功地實現了四兩撥千斤，用最少的資源獲取到了最多的隱私資料，而且過了甚久才被察覺。

這次的攻擊絕對可以載入史冊，絕對的。