在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。
XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人
上傳的版本:
圖 1:分享 Xcode 的網站。
但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)
圖 2:被改過的 Xcode 6.2。
圖 3:被改過的 Xcode 6.4。
受感染的應用程式
以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。
| BundleID |
版本 |
AppLabel |
| com.51zhangdan.cardbox |
5.0.1 |
51卡保险箱 |
| com.cloud1911.mslict |
1.0.44 |
LifeSmart |
| cn.com.10jqka.StocksOpenClass |
3.10.01 |
炒股公开课 |
| com.xiaojukeji.didi |
3.9.7 |
嘀嘀打车 |
| com.xiaojukeji.didi |
4.0.0 |
滴滴出行 |
| com.xiaojukeji.dididache |
2.9.3 |
滴滴司机 |
| com.dayup11.LaiDianGuiShuDiFree |
3.6.5 |
电话归属地助手 |
| sniper.ChildSong |
1.6 |
儿歌动画大全 |
| com.rovio.scn.baba |
2.1.1 |
愤怒的小鸟2 |
| com.appjourney.fuqi |
2.0.1 |
夫妻床头话 |
| com.autonavi.amap |
7.3.8 |
高德地图 |
| com.stockradar.radar1 |
5.6 |
股票雷达 |
| cn.com.10jqka.TheStockMarketHotSpots |
2.40.01 |
股市热点 |
| com.jianshu.Hugo |
2.9.1 |
Hugo |
| com.wdj.eyepetizer |
1.8.0 |
Eyepetizer |
| com.iflytek.recinbox |
1.0.1083 |
录音宝 |
| com.maramara.app |
1.1.0 |
马拉马拉 |
| com.intsig.camcard.lite |
6.5.1 |
CamCard |
| com.octInn.br |
6.6.0 |
BirthdayReminder |
| com.chinaunicom.mobilebusiness |
3.2 |
手机营业厅 |
| cn.12306.rails12306 |
2.1 |
铁路12306 |
| cn.com.10jqka.IHexin |
9.53.01 |
同花顺 |
| cn.com.10jqka.IphoneIJiJin |
4.20.01 |
同花顺爱基金 |
| cn.com.gypsii.GyPSii.ITC |
7.7.2 |
图钉 |
| com.netease.videoHD |
10019 |
网易公开课 |
| com.netease.cloudmusic |
2.8.3 |
网易云音乐 |
| com.tencent.xin |
6.2.5 |
微信 |
| com.tencent.mt2 |
1.10.5 |
我叫MT 2 |
| com.gemd.iting |
4.3.8 |
喜马拉雅FM |
| com.xiachufang.recipe |
48 |
下厨房 |
| cn.com.10jqka.ThreeBoard |
1.01.01 |
新三板 |
| com.simiao-internet.yaodongli |
1.12.0 |
药给力 |
| com.gaeagame.cn.fff |
1.1.0 |
自由之战 |
表 1:部分暗藏 XcodeGhost 程式碼的應用程式。
推播應用程式
面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。
圖 4:XcodeGhost作者釋出的原始碼片段。
受害國家和地區
根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式也在中國以外地區發行。
圖 5:受害的國家。
趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。
原文出處:The XcodeGhost Plague – How Did It Happen?|作者:Ju Zhu (行動裝置威脅分析師)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
